어제, 프로그램 검색을 하다가 미디어파이어에서 아이콘이 없는 파일을 내려받아 실행했다. 용량은 500kb정도였는데 지금 생각해보니 왜 실행했나 싶다. virustotal에 검사해서 3개의 바이러스가 검출됬음을 확인하고도 실했한 내가 바보지.

파일을 실행시키니 아무것도 뜨지않았다. 뭔가 이상해서 탐색기를 다시 켜 다운로드 폴더를 확인했더니 실행시킨 파일은 온데간데없고 힘차게 쿨링팬 돌아가는 소리만 들려왔다. Process Explorer로 살펴보니 svchost가 75%의 점유율을, 스레드 3개를 100%로 사용해야 나오는 수치인데, 차지하고 있었다. svchost 글자에 마우스를 올려보니 Services항목에 일반 svchost와는 다른게 있더라. 낚였구나.

덕분에 평소엔 절대 안쓰는 백신을 설치했다. Malwarebytes라는 백신인데, 인지도도 높고 무료 사용기간을 제공해서 참으로 좋다. 사라진 바이러스 파일이 어디 숨어있는지 알 길이 없기에 전체 검사 수행을 부탁드렸더니 다음과 같은 결과를 하사하시더라.

Malwarebytes Anti-Malware (평가판) 1.75.0.1300
www.malwarebytes.org

DB 버전: v2013.04.12.10

Windows Server 2012 x64 NTFS
인터넷 익스플로러 10.0.9200.16540
sunghwan2789 :: BLOODCATM [관리자]

보호: 비활성화됨

2013-04-13 오전 1:48:33
mbam-log-2013-04-13 (01-48-33).txt

검사 방식: 전체 검사 (C:\|D:\|E:\|Z:\|)
활성화된 검사 옵션: 메모리 | 시작 프로그램 | 레지스트리 | 파일 시스템 | 휴리스틱/Extra | 휴리스틱/Shuriken | PUP | PUM
비활성화된 검사 옵션: P2P
검사 대상: 155575
경과 시간: 13 분, 26 초 [중단됨]

메모리 프로세스 감염: 0
(탐지된 악성 항목이 없음)

메모리 모듈 감염: 0
(탐지된 악성 항목이 없음)

레지스트리 키 감염: 0
(탐지된 악성 항목이 없음)

레지스트리 값 감염: 0
(탐지된 악성 항목이 없음)

레지스트리 데이터 항목 감염: 0
(탐지된 악성 항목이 없음)

폴더 감염: 0
(탐지된 악성 항목이 없음)

파일 감염: 9
C:\$Recycle.Bin\S-1-5-18\$8ba1b19fd6fca41b3b29fe787d30d603\n (Trojan.0Access) -> 재부팅시 삭제됩니다.
C:\$Recycle.Bin\S-1-5-18\$8ba1b19fd6fca41b3b29fe787d30d603\L\00000008.@ (Trojan.BitMiner) -> 성공적으로 격리 및 삭제되었습니다.
C:\$Recycle.Bin\S-1-5-18\$8ba1b19fd6fca41b3b29fe787d30d603\U\00000004.@ (Trojan.0Access) -> 성공적으로 격리 및 삭제되었습니다.
C:\$Recycle.Bin\S-1-5-18\$8ba1b19fd6fca41b3b29fe787d30d603\U\00000008.@ (Trojan.Dropper.BCMiner) -> 성공적으로 격리 및 삭제되었습니다.
C:\$Recycle.Bin\S-1-5-18\$8ba1b19fd6fca41b3b29fe787d30d603\U\000000cb.@ (Trojan.0Access) -> 성공적으로 격리 및 삭제되었습니다.
C:\$Recycle.Bin\S-1-5-18\$8ba1b19fd6fca41b3b29fe787d30d603\U\80000000.@ (Trojan.0Access) -> 성공적으로 격리 및 삭제되었습니다.
C:\$Recycle.Bin\S-1-5-18\$8ba1b19fd6fca41b3b29fe787d30d603\U\80000064.@ (Trojan.0Access) -> 성공적으로 격리 및 삭제되었습니다.
C:\$Recycle.Bin\S-1-5-21-2142156946-2021761559-3999700400-500\$8ba1b19fd6fca41b3b29fe787d30d603\n (Trojan.0Access) -> 재부팅시 삭제됩니다.
C:\Program Files (x86)\MediaInfo\Potextendicon.dll (Trojan.Agent.GNI) -> 성공적으로 격리 및 삭제되었습니다.

(완료)

윈도우에서 휴지통에 보내지 않고 바로 삭제한다고 설정해놨는데 휴지통에 파일이 들어있었다. 바로 삭제하고, 재부팅했다. 대형 선풍기 못지않은 노트북 쿨러 소리가 소멸했다. 좋았어!

문제는 오늘 있었다. 게임 폴더 정리를 하고 네트워크 통신이 필요한 게임에 대한 방화벽 규칙을 설정하려고 실행에 wf.msc를 입력하고 띄웠는데, 띄웠는데!

방화벽 스냅인 오류
느아ㅏㅏㅏㅏㅏ!

방화벽 서비스를 다시 시작하라는 오류 메세지를 뿜어냈다. 인터넷에 오류 코드인 0x6D9를 검색했더니 윈도우 업데이트는 무사한지 확인해보란다. 그래서 윈도우 업데이트 확인을 했는데, 이것도 서비스를 시작하란다. 바로 서비스 관리하려고 실행에 services.msc를 입력하고 띄웠는데, 띄웠는데!

서비스 항목이 빠져있다!
어디갔니..

있어야할 Windows Firewall과 Windows Update 서비스가 사라져있었다. 아아. 큰일이다. Twin IP 구성으로 방화벽 내려가면 모든 포트가 뚫리는데. 아오. 바이러스 제거한지 꼬박 하루 지났으니까 이미 중요정보없는 내 노트북에 접속해서 삽질만 하고 간 형님들이 날 노여워하고 계시겠지.

서비스 항목이 사라졌다는 것은 윈도우 구성요소 중 어딘가가 빠졌다는 것. 그렇다면 Windows Resource Checker로 빠진 구성요소를 복구하는 게 정석. 같이 복구해요~!

  1. 명령프롬프트(cmd)를 관리자 권한으로 실행하자.
  2. sfc /scannow를 입력하고 다 끝날 때까지 기다리자.
    sfc를 사용할 수 없다면 Microsoft Fix it을 이용하시라.
  3. 재부팅 후 해당 서비스가 있는지 확인하고 평화를 만끽하자.

via superuser(CharlieRB)

평화를 만끽하자. 잘도. 바이러스가 뼈속 깊이 박혀있는지 sfc는 구성요소를 복구했다 했지만 서비스 관리 도구에서 해당 서비스는 없었다. 어쩌지 어쩌지 하다가 바이러스가 뼈속 깊이 박혀있다고? Malwarebytes Anti-Rootkit을 설치하고, 검사했다. 결과는 다음과 같았다.

Malwarebytes Anti-Rootkit BETA 1.05.0.1001
www.malwarebytes.org

Database version: v2013.04.13.08

Windows Server 2012 x64 NTFS
Internet Explorer 10.0.9200.16540
sunghwan2789 :: BLOODCATM [administrator]

2013-04-14 오후 7:37:48
mbar-log-2013-04-14 (19-37-48).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled: 
Objects scanned: 32181
Time elapsed: 3 minute(s), 11 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 1
HKCU\SOFTWARE\CLASSES\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} (Hijack.Trojan.Siredef.C) -> Delete on reboot.

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 3
HKCU\SOFTWARE\CLASSES\CLSID\{FBEB8A05-BEEE-4442-804E-409D6C4515E9}\INPROCSERVER32| (Trojan.0Access) -> Bad: (C:\$Recycle.Bin\S-1-5-21-2142156946-2021761559-3999700400-500\$8ba1b19fd6fca41b3b29fe787d30d603\n.) Good: (shell32.dll) -> Delete on reboot.
HKLM\SOFTWARE\CLASSES\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\INPROCSERVER32| (Trojan.0Access) -> Bad: (C:\$Recycle.Bin\S-1-5-18\$8ba1b19fd6fca41b3b29fe787d30d603\n.) Good: (fastprox.dll) -> Delete on reboot.
HKLM\SOFTWARE\CLASSES\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\INPROCSERVER32| (Hijack.Trojan.Siredef.C) -> Bad: (C:\$Recycle.Bin\S-1-5-18\$8ba1b19fd6fca41b3b29fe787d30d603\n.) Good: (%systemroot%\system32\wbem\fastprox.dll) -> Delete on reboot.

Folders Detected: 6
c:\$Recycle.Bin\S-1-5-18\$8ba1b19fd6fca41b3b29fe787d30d603\U (Trojan.Siredef.C) -> Delete on reboot.
c:\$Recycle.Bin\S-1-5-21-2142156946-2021761559-3999700400-500\$8ba1b19fd6fca41b3b29fe787d30d603\U (Trojan.Siredef.C) -> Delete on reboot.
c:\$Recycle.Bin\S-1-5-18\$8ba1b19fd6fca41b3b29fe787d30d603\L (Trojan.Siredef.C) -> Delete on reboot.
c:\$Recycle.Bin\S-1-5-21-2142156946-2021761559-3999700400-500\$8ba1b19fd6fca41b3b29fe787d30d603\L (Trojan.Siredef.C) -> Delete on reboot.
c:\$Recycle.Bin\S-1-5-18\$8ba1b19fd6fca41b3b29fe787d30d603 (Trojan.Siredef.C) -> Delete on reboot.
c:\$Recycle.Bin\S-1-5-21-2142156946-2021761559-3999700400-500\$8ba1b19fd6fca41b3b29fe787d30d603 (Trojan.Siredef.C) -> Delete on reboot.

Files Detected: 8
c:\$Recycle.Bin\S-1-5-18\$8ba1b19fd6fca41b3b29fe787d30d603\@ (Trojan.Siredef.C) -> Delete on reboot.
c:\$Recycle.Bin\S-1-5-21-2142156946-2021761559-3999700400-500\$8ba1b19fd6fca41b3b29fe787d30d603\@ (Trojan.Siredef.C) -> Delete on reboot.
c:\Windows\assembly\GAC_32\Desktop.ini (Rootkit.0access) -> Delete on reboot.
c:\Windows\assembly\GAC_64\Desktop.ini (Rootkit.0access) -> Delete on reboot.
c:\$Recycle.Bin\S-1-5-18\$8ba1b19fd6fca41b3b29fe787d30d603\U\80000032.@ (Trojan.Siredef.C) -> Delete on reboot.
c:\$Recycle.Bin\S-1-5-18\$8ba1b19fd6fca41b3b29fe787d30d603\L\00000004.@ (Trojan.Siredef.C) -> Delete on reboot.
c:\$Recycle.Bin\S-1-5-18\$8ba1b19fd6fca41b3b29fe787d30d603\L\201d3dde (Trojan.Siredef.C) -> Delete on reboot.
c:\$Recycle.Bin\S-1-5-18\$8ba1b19fd6fca41b3b29fe787d30d603\L\76603ac3 (Trojan.Siredef.C) -> Delete on reboot.

(end)

뭔가 더 상세했다. 말웨어랑 루트킷의 차이가 뭐길레. 그래서 바로 재부팅했다. 그리고 확인했다. 그랬더니 서비스 관리 도구에 Windows Firewall과 Windows Update 항목이 돌아왔다. 나이스-! 는 개뿔. 방화벽 시작이 안된다. 윈도우 업데이트는 잘 되는데 방화벽이 안된다니. 삽질의 연속이로구나~

방화벽 시작시 뿜는 오류 코드는 5였다. 권한 오류라고하니 레지스트리를 건드리자~고 생각했지만 아는게 없으니까 전문도구를 이용하는 방법을 썼다. 내가 방화벽 복구를 위해 사용한 프로그램은 Windows Repair (All In One) 이것인데, 이름에서도 알 수 있듯이 하라는대로 따라만 하면 웬만하면 다 될거다. 웬만하면.

나는 안됬으니까, 다음에 한번 깨끗하게 밀 생각이다. 공부할 시간도 부족한 고2에 이게 뭔 바람이야%*

저작자 표시 비영리
신고
  1. 공부할 생각도 안하는 놈이 ㅋ
  2. ㅁㄴㅇㄹ
    비트코인 마이닝 바이러스가아직도있엇네 ㄷㄷ
  3. 피터스
    돈주고 사야 하네요.

    구매해야 해서 포기
  4. 안녕
    하고 있는데 초기화 되는거 아니죠?
  5. 김용민
    Windows repair 대박이네요.
    방화벽 이 갑자기 안되서 2시간동안 쇼하다
    밑져야 본전식으로 해봤는 바로복원..

Name __

Password __

Link (Your Website)

Comment