도대체..어떻게...? 애드웨어 침략기

 

 

 키즈@IT/Online/WEB 리뷰

(2006/07/18 10:31)

 

 

최근 무척이나 귀찮은 애드웨어에 시달렸었다.
아니 지금도 어느정도 시달리고 있다고 해야 할까...

(아직 일부가 남아 나를 괴롭히고 있으니...)

 

 

 최근 몇년새 애드웨어에 대놓고 당한 건 이번이 처음이다.

함부로 ActiveX를 설치도 않을 뿐더러 정체가 모호한 사이트에는 접근조차 하지 않는 등 나름대로 잘 방어를 해왔기 때문에 이번 침략은 내게도 약간은 충격이었다.
방심했던 탓일까. 덕분에 무척이나 당황스런 이 녀석의 공격에 처음엔 맥없이 당해야 했다.

침입

우선 이 녀석.. 언제 내 시스템에 얹혀 살게 되었는지 모르겠다.
이 녀석이 설치되었을 가능성이 그나마 높은 건 역시 특정 사이트가 크래킹 당해서 애드웨어를 배포하고 있는 상황. 다만 그 곳이 어디였는지 모르겠다.

최근 내 웹서핑의 경향이 비교적 루트가 분명해져서 몇몇 특정 관심 사이트만 돌고 있는데 어떻게 침투했을까...
이메일 등은 아예 스팸이 의심되면 삭제하고 있기 때문에 침투 가능성이 낮고... P2P 혹은 내 컴퓨터에 직접 침입했으려나...
공유기를 사용하고 있기 때문에 이쪽의 가능성은 낮은데... 침입 경로에 대한 건 좀 더 고민해봐야 할 듯...


증상

이 녀석은 우선 4개의 실행파일을 실행시킨다.

현재는 다 삭제해버려서 정확히 기억이 나질 않지만
 issearch.exe, isshot.exe, isnotify.exe, isOOO.exe
등 is로 시작하는 녀석들이다. 대게의 애드웨어나 스파이웨어가 그렇듯 잽싸게 실행되며 프로세스에서 강제 종료 시키더라도 바로 실행하는 기민성을 보인다.
이 녀석들은 Windows/system32 폴더 안에 도사리고 있다.

 

아무튼 그 4개의 실행파일이 실행되면 간간히 광고를 띄운다. 성인 사이트 광고에서 심지어... 치료용 툴이라며 정체모를 프로그램 판매에도 열을 올린다만 그런 광고를 관심있게 확인할 리 만무하다. 이런 광고들은 종종 날 당황시킬 뿐이다.

물론 브라우저 초기화면도 이상한 곳으로 걸어두는 센스는 발휘하더군.


치료로 가는 험난한 길

이런 녀석들은 대부분 쉽게 자신의 정체를 알린다.

쉼없이 광고창을 띄워놓으니 이상하다는 생각을 안할 사람이 어디 있겠는가.

다만 적절히 대응을 할 수 있으냐 아니면 불편함과 민망함을 감수하면서 컴퓨터를 계속 쓰느냐의 차이 정도일까.

어쨋든 난 이런 불순한(?) 녀석들과 내 컴퓨터를 나눠 쓸 생각이 전혀 없었기에 두개의 프로그램으로 이 녀석들을 공략하기로 했다.

 

스파이웨어와 애드웨어 치료에 이름을 떨치는 'Ad-Aware SE Personal' 최신 버전과 클릭 투 트윅으로 유명한 권용휘님의 '울타리' 최신 버전이 내게 간택받은 두 프로그램이다.

하지만.. 결론부터 말한다면 아쉽게도 이 두 프로그램 모두 제대로 이번 애드웨어를 잡아주진 못했다.
두 프로그램 모두 소소한(?) 스파이웨어 몇 개를 잡아주긴 했지만 수차례 치료를 시도했음에도 애드웨어를 깨끗이 청소하지 못했다.

 

물론 이외에 안티 바이러스 프로그램인 NOD32도 열심히 애드웨어를 찾아주긴 했지만 제대로 치료하진 못했다. 이런 결과로 추측컨데 아직 패턴이 알려지지 않는 신종이거나 치료가 어려운 종류의 애드웨어였나 보다.


아쉬운 치료

결국.. 내가 선택한 건 안전모드였다.

 

안전모드.. 윈도우의 극히 일부만 로드하기 때문에 isOOOO.exe의 4개 실행파일이 애초에 실행되지 못할 것이라는 생각에서였다. 다행히 이런 생각은 적중해서 해당 실행파일은 아예 실행 되지 않았고 간단히 system32 폴더 안의 파일을 삭제할 수 있었다.

그래서 다 해결이 됐으려니 했지만 재부팅 후 살펴보니... 브라우저 초기화면은 끝내 붙들고 있는 것이 아닌가. 클릭 투 트윅 안에 있는 초기화면 고정 기능 등은 간단히 무시해주는 센스.
어디에서 요 정체 모를 사이트(http://www.sysprotectionpage.net)를 물고 있는지는 모르겠지만 아무튼 현재도 초기화면은 애드웨어가 손에 틀어쥐고 있다.

 

어떻게 이걸 풀어내야 할지 여전히 고심중이다. 윈도우 재설치 등의 특단의 조치는 피하고 싶은 것이 솔직한 마음이니... 좀 더 고민해야 할 듯 하다.

이런 지긋지긋한 녀석들을 만들어서 돈 좀 만질려는 사람들은 없어졌음 하는 작은 소망이 생겨나는 오늘이다. 비싼 밥먹고 이런 돈벌이 밖에 생각 못하는 사람들이라니..-_-; 한심하기 앞서 귀찮은 존재들이다.


완전 치료 성공!!

 

##########1*

 

sok님과 코프님이 추천하신 'Hijack This'가 빛을 발했다.


Hijack This는 역시나 소문대로 강력했다. 다만 지나치게 강력한(?) 탓에 모든 이에게 추천하고 싶지는 않다.
비정상적인 경우나 정상적인 경우건 모두 Scan한 다음 이용자가 선택해서 처리하도록 하기 때문에 본의 아니게 정상적인 파일 등을 지워버릴 수 있다.

물론 백업이 지원되기 때문에 문제가 생기면 되돌릴 수 있다지만 잘 모르는 상태에서 건드리기엔 역시나 조금은 위험한 느낌이다.

 

날 괴롭힌 녀석... 초기화면을 붙들고 있었던 이 녀석은 BHO를 통해 초기화면을 붙들고 있었다.
BHO(Browser Helper Object)는 말그대로 문제가 있는 IE에 설치되어 보조적인 역할을 수행한다. 대게 툴바나 다운로드 관리 프로그램등이 BHO 형태를 취하는 경우가 많다.
헌데 크래커들도 BHO를 통해 컴퓨터 사용자를 괴롭히는 모양이다.

 

이런 경우가 처음이었기에 설마 BHO가 문제를 일으켰으리라고는 생각지도 못했는데...

어쨋든 시원하게 해결하고 나니 행복하다.

혹 이런 문제가 다시 생기면 Hijack This에 또 도움을 청해야 겠다.

Visual Basic 6.0 Runtime만 설치되어 있으면 실행파일 하나만으로 제 기능을 수행한다는 점도 맘에 든다.

위에도 말했었지만.. 비싼 밥먹고 이런 거나 만들어서 퍼트리는 족속들은 정말 이해가 안된다.

 

 

http://its.tistory.com/trackback/544

 

 

안정적인 DNS서비스 DNSEver DNS server, DNS service
Posted by 키르히

댓글을 달아 주세요