응용프로그램2008. 6. 25. 00:38

당나귀에서 받은 실행파일을 무심코 클릭했다가 아주 징그러운 바이러스(멀웨어 혹은 스파이웨어 혹은 트로이 목마)에 걸려버렸다. 그 무섭다는 소문의 루트킷(rootkit) 종류의 스파이웨어였는데, 덕분에 이틀 동안 사투를 벌였다. flec006.exe로 웹을 검색해보면 무수한 피해사례가 나오는데, '100% 완벽한 복구는 불가능하다'라는 결론이 지배적이었다.

내 경우 즉각 확인할 수 있던 증상은 다음과 같았다.


  1. flec006.exe, mdelk.exe, hldrr.exe 등의 프로세스가 상주한다. 강제 종료할 수 없다. 이것들은 시작프로그램에도 동시에 등록된다.
  2. 안전모드로 부팅하면 블루스크린이 뜬다.
  3. 인터넷이 느려진다-_-
  4. 잘 실행되던 백신 프로그램 등이 실행되지 않는다(내 경우 아바스트 홈 에디션과 CCleaner 등)
  5. '탐색기>폴더 옵션>보기>고급 설정'에서 '숨김 파일 및 폴더 표시 안함' 설정이 사라진다. 따라서 숨겨진 파일을 볼 수 없게 된다.


그래서 탐색기 대용으로 사용하던 flyExplorer로 조사한 결과 다음과 같은 증상을 더 발견했다.


  1. C:\Documents and Settings\사용자 이름\Application Data 폴더 밑에 임의의 폴더가 생성되고 수상한 파일들이 들어찬다. m일 때도 있고 james일 때도 있고-_- 랜덤한 문자열이었다.
  2. C:\windows\sysmem32\drivers 폴더에 flec006.exe, mdelk.exe, hldrr.exe 등의 파일이 생성된다. 동시에 down 어쩌고 폴더(역시나 랜덤한 문자열)가 생성되며 이곳에 수상한 파일들이 차곡차곡 다운된다.


나중에 알게 됐지만 그외에도 서비스라든가 레지스트리를 '심각하게' 건드리는 바이러스였다. 웹을 뒤져본 결과, 그리고 홀로 이것저것 다 해본 결과 효과가 있었던 해결책은 다음과 같다. 물론 내 경우에 효과가 있었다는 얘기다.


  1. X-Cleaner (마이크로 버전) 검사 및 치료.
  2. 레지스트리 파일로 안전모드 복구. 이제 다시 안전모드로 부팅할 수 있다.
  3. SDFix 검사 및 치료.
  4. ComboFix 검사 및 치료. (프로세스에 바이러스가 상주해 있으면 실행이 안 된다)
  5. AVG 설치, 전체 검사, 치료. (프로세스에 바이러스가 상주해 있으면 설치조차 안 된다)
  6. 탐색기 폴더 옵션 복구. 안타깝게도 복구를 했는데도 내 경우에는 이렇게 나오더라. 그래도 이게 어디냐...
    사용자 삽입 이미지


참고한 문서는 다음과 같다.


  1. infected with flec006.exe 이 문서에서 큰 도움을 얻었다. 해외에서는 HijackThis가 스파이웨어 분석에 있어 거의 핵심적인 툴로 사용되는 듯하다.
  2. hidrr.exe and flec006.exe and exefld 비슷한 내용이다.
  3. 바이러스 hlrrr.exe mdelk.exe srosa.sys (Trojan-Downloader.Win32/Bagle) 국내 웹에는 자세한 정보가 없는 편이었다. 백신 소프트웨어 사이트 빼고는. 이 페이지도 지금은 삭제된 듯하다.


그리고 다음은 (내 경우) 효과가 없었던 프로그램들이다.


  1. 아바스트 홈 에디션. 이건 뭐 바이러스 걸린 시점에서 실행도 안 되고... 가뿐하게 언인스톨해버렸다. 게다가 이번 일로 알게 된 셈이지만, AVG가 훨씬 더 좋다.
  2. 위 해외 문서들에서 소개하고 있는 Avenger 버전 1. 이것도 바이러스에 걸린 상태에선 실행이 안 된다. 압축파일 안에서 파일명을 바꾼 뒤에 실행을 시킬 수 있었으나 위의 문서들에서 소개한 스크립트로는 치료되는 게 없었다. 물론 내가 수동으로 flec006.exe 등의 파일을 이미 지웠기 때문일지도 모르지만. 링크 타고 가보면 버전 2를 다운받을 수 있는데 이건 안 써봐서 모르겠다. 별로 쓰고 싶지도 않고.
  3. V3+ Neo 최신 버전. 혹시나 했는데 역시나... 전혀 바이러스를 검출하지 못 했다.
  4. VundoFix. 속도도 느리고 바이러스도 검출해내지 못 했다.


한 가지 운이 좋았던 건, 내가 인터넷 임시파일 폴더를 램디스크에 잡아놓았다는 점이었다(알다시피 램디스크는 재부팅할 때마다 싸그리 날아가버린다). 하지만 웹서핑 중에 바이러스에 걸린 건 아니니까 별 상관 없는 듯하기도...


어쨌든 이번 일로 수상한 실행파일은 절대 클릭하지 말아야겠다는 교훈을 새삼 확인했다. 문제의 파일은 모 게임의 크랙 파일이었는데, 엄청나게 마이너한 게임인데다가 당나귀에서도 소스가 10개도 안 되는 파일이었음에도 불구하고 바이러스에 걸려있었다니... 충격일 따름이다-_-



Posted by 필유

댓글을 달아 주세요

  1. 글을 읽다가 문득 저도 최근에 집 피씨에 걸렸던 바이러스가 생각나네요. 참 지독했던 놈인데. ㅎㅎ 스샷을 보니 언젠가는 재설치를 하실 날이 올 것만 같습니다;;

    2008.06.25 01:05 [ ADDR : EDIT/ DEL : REPLY ]
  2. 솔파미래

    진짜진짜 ~좋은글~~잘 봤어요~
    아. .정말 이것때문에 울고싶은..
    열심히 따라한다고도 해봤지만 , 컴맹은 어쩔수없는건가 ..슬슬 대책이 안서고있는..-_-;;사실 영어..;;;
    파일 삭제는 되구..저것들 삭제 다시켰는데..
    문제는..m <대단하십니다, 이분어떻게 삭제시켰는지. .
    안전모드..들어가고싶은데, 이게 제일 문제인거같아요, 레지스트리에 저 파일경로 가보니까
    safeboot키가 없더군요..ㅠㅠ..밑에 다운받아서 추가했는데 controlset001로 추가되서는..
    안전모드가 안되요.. 난데없이, 이런댓글 남기구 가서 죄송해요.. 그래도 , 뭔가 좀 아신다면..
    가르쳐주시면 정말 감사하겠습니다 , 도와주세요 ㅠㅠㅠㅠㅠㅠㅠㅠㅠ

    2008.07.12 14:35 [ ADDR : EDIT/ DEL : REPLY ]
  3. 솔파미래

    바탕화면해서 레지스트리로 그냥 드래그했더니 성공했다는 ㅎㅎ
    이상하게 저는 자꾸 엉뚱한 레지스트리로 추가되서, 난감했는데, 어쨌든 올려주신 파일들
    덕택에, 큰 도움됬답니다..안전모드부팅해서 파일 다시 다 지우구.. 그러니까,
    숨김파일체크하는것도 다시 보이구, 보안센터도 들어가지고..여튼 다 되고있어요 ㅎㅎ
    저 하나만 더 물어봐도 될까요~ㅎ;;올려주신 파일중에 SDfix요고 받아서 안전모드에서 실행했는데요,
    표준에서 해두 그렇구, "로케일을 설정할 수 없습니다"라고 뜨고 아무작업도 실행이 안되던데. .
    이거 . . 컴에 더 문제가 잇는걸까요? 검사하고싶은데 저러니까좀 ..찝찝해서요^^:;

    2008.07.14 00:21 [ ADDR : EDIT/ DEL : REPLY ]
  4. beatto

    ㅎㅎ
    저도 주말에 hldrr.exe 이놈때문에 짜증이 났었는데요
    꽤 자신을 잘 지키는(?) 루트킷이더군요..

    그래서 최후의 방법으로 ERD commander 라는 복구시디를 이용해서 해당 파일들을 삭제해서 해결했습니다

    해당 루트킷은 러시아놈들이 만든거 같아요
    걸리게 되면 러시아 사이트로 HTTP 커넥션을 몇개정도 만들면서 서로 통신을 합니다
    귀찮아서 패킷은 보지않았지만..뭔가 빼가는(?) 느낌이..
    그리고 이거 걸리면 네트워크 장치에 새로운 인터넷연결이 새로 생깁니다.

    2008.09.22 10:58 [ ADDR : EDIT/ DEL : REPLY ]