최근 많은 PC 사용자에게 피해를 입힌 허위 안티스파이웨어는 기존과는 달리 은페 기법을 사용하고 있다. 이 허위 안티스파이웨어의 은폐 기법과 제거 방법을 알아보자.
과거 국내 허위 안티스파이웨어들은 프로그램의 제거를 막기 위해 주로 정상 프로그램과 유사한 이름을 가진 파일을 시작 프로그램으로 등록시켜 사용자를 속이고, 프로그램이 제거되더라도 이 파일에 의해 다시 설치되도록 하는 방법을 사용했다.
그러나 은폐형 허위 안티스파이웨어는 윈도우 API를 후킹하는 드라이버를 등록하여 프로그램의 중요 파일과 레지스트리 정보를 숨긴다. 이렇게 숨겨진 파일과 레지스트리는 일반적인 방법으로는 찾을 수 없으며 특별한 툴을 이용하거나 해당 드라이버가 동작하지 않는 안전모드로 부팅한 상태에서만 확인할 수 있다.
은폐 기능을 중지하기 위해서는 윈도우 API를 후킹하는 드라이버의 동작을 중지하여야만 한다. 그러나 중지를 시도하면 오류 메시지를 출력하며 제거되지 않는다. 또한 제어판의 ‘프로그램 추가/삭제’를 이용해 제거하더라도 드라이버는 제거되지 않은 채 여전히 특정 파일과 레지스트리를 숨긴다. 따라서 안전모드로 부팅 후 파일과 레지스트리 키를 삭제해야 완전히 제거 할 수 있다.
은폐형 허위 안티스파이웨어 제거 방법
우선, 믿을 수 있는 보안업체의 통합보안제품이나 안티스파이웨어 제품 사용자는 자신이 보유한 제품으로 자동 삭제할 수 있다. 안철수연구소 고객이라면 V3 IS 2007 Platinum과 스파이제로로 완전 삭제가 가능하다.
그 외에도 수동으로 제거하는 방법이 있다.
제일 먼저, 제어판의 ‘프로그램 추가/삭제’에서 해당 허위안티스파이웨어 삭제한다. 삭제 도중 숫자 더하기 문제를 물어보는데 정답을 입력하지 않으면 삭제가 중지되므로 올바른 답을 입력하도록 한다.
프로그램 추가/삭제를 이용하여 제거하면 프로그램 자체는 제거되지만 은폐 동작을 하는 드라이버는 제거되지 않으며 드라이버가 계속 동작하고 있어 관련 파일을 찾거나 삭제하는 것이 불가하다.
삭제를 위해서는 해당 드라이버가 동작하지 않는 윈도우 안전모드로 부팅하여 드라이버 파일과 관련 레지스트리를 수동으로 제거하여야만 한다.
안전모드로 부팅 후 아래 경로의 파일과 레지스트리 키를 삭제하여 완전히 제거가 가능하다.
레지스트리는 윈도우에 기본으로 포함된 RegEdit.exe를 이용하여 편집할 수 있으며 [시작]->[실행]->”RegEdit”를 입력하여 실행할 수 있다. 레지스트리 편집기가 나오면 아래 그림 순서대로 삭제하면 된다.
좋은 목적을 갖고 있더라도 그 방법이 불순해서는 안 된다. 안티 스파이웨어는 이름 그대로 스파이웨어를 제거하거나 차단하여 사용자의 권리를 보호하는 프로그램을 의미한다. 그러나 이러한 안티 스파이웨어가 스파이웨어와 동일한 방식으로 동작하여 사용자의 권리를 침해하는 행위를 한다면 더 이상 안티 스파이웨어가 아닌 스파이웨어로 분류되는 것이 마땅하다. 특히나 안티 스파이웨어는 단순 영리 추구보다는 도덕성을 바탕으로 한 공익 추구가 주된 목적이 되어야 한다. 인터넷이 보편화 되면서 각종 애드웨어와 스파이웨어가 난무하는 현재, 프로그램 제작자들의 의식 개선이 절실하다.@
[저자] 안철수연구소 ASEC 분석2팀 주설우 연구원
과거 국내 허위 안티스파이웨어들은 프로그램의 제거를 막기 위해 주로 정상 프로그램과 유사한 이름을 가진 파일을 시작 프로그램으로 등록시켜 사용자를 속이고, 프로그램이 제거되더라도 이 파일에 의해 다시 설치되도록 하는 방법을 사용했다.
그러나 은폐형 허위 안티스파이웨어는 윈도우 API를 후킹하는 드라이버를 등록하여 프로그램의 중요 파일과 레지스트리 정보를 숨긴다. 이렇게 숨겨진 파일과 레지스트리는 일반적인 방법으로는 찾을 수 없으며 특별한 툴을 이용하거나 해당 드라이버가 동작하지 않는 안전모드로 부팅한 상태에서만 확인할 수 있다.
은폐 기능을 중지하기 위해서는 윈도우 API를 후킹하는 드라이버의 동작을 중지하여야만 한다. 그러나 중지를 시도하면 오류 메시지를 출력하며 제거되지 않는다. 또한 제어판의 ‘프로그램 추가/삭제’를 이용해 제거하더라도 드라이버는 제거되지 않은 채 여전히 특정 파일과 레지스트리를 숨긴다. 따라서 안전모드로 부팅 후 파일과 레지스트리 키를 삭제해야 완전히 제거 할 수 있다.
은폐형 허위 안티스파이웨어 제거 방법
우선, 믿을 수 있는 보안업체의 통합보안제품이나 안티스파이웨어 제품 사용자는 자신이 보유한 제품으로 자동 삭제할 수 있다. 안철수연구소 고객이라면 V3 IS 2007 Platinum과 스파이제로로 완전 삭제가 가능하다.
그 외에도 수동으로 제거하는 방법이 있다.
제일 먼저, 제어판의 ‘프로그램 추가/삭제’에서 해당 허위안티스파이웨어 삭제한다. 삭제 도중 숫자 더하기 문제를 물어보는데 정답을 입력하지 않으면 삭제가 중지되므로 올바른 답을 입력하도록 한다.
프로그램 추가/삭제를 이용하여 제거하면 프로그램 자체는 제거되지만 은폐 동작을 하는 드라이버는 제거되지 않으며 드라이버가 계속 동작하고 있어 관련 파일을 찾거나 삭제하는 것이 불가하다.
삭제를 위해서는 해당 드라이버가 동작하지 않는 윈도우 안전모드로 부팅하여 드라이버 파일과 관련 레지스트리를 수동으로 제거하여야만 한다.
안전모드로 부팅 후 아래 경로의 파일과 레지스트리 키를 삭제하여 완전히 제거가 가능하다.
[ 파일 ] %SYSDIR%\MsMgr.sys %SYSDIR%\MsMgrDrvIo.dll %SYSDIR%\Msmst.exe %SYSDIR%\MsMstSetup.exe %SYSDIR%\drivers\MsMgr.sys ※ Windows XP의 경우 %SYSDIR% 은 “C:\Windows\System32” 이며 Windows 2000은 “C:\WINNT\System32”, Windows 98은 “C:\Windows\System” 이다. [ 레지스트리 ] HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsMgr HKEY_LOCAL_MACHINE\SOFTWARE\MsMgr HKEY_LOCAL_MACHINE\SOFTWARE\MsMst HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Msmst |
레지스트리는 윈도우에 기본으로 포함된 RegEdit.exe를 이용하여 편집할 수 있으며 [시작]->[실행]->”RegEdit”를 입력하여 실행할 수 있다. 레지스트리 편집기가 나오면 아래 그림 순서대로 삭제하면 된다.
좋은 목적을 갖고 있더라도 그 방법이 불순해서는 안 된다. 안티 스파이웨어는 이름 그대로 스파이웨어를 제거하거나 차단하여 사용자의 권리를 보호하는 프로그램을 의미한다. 그러나 이러한 안티 스파이웨어가 스파이웨어와 동일한 방식으로 동작하여 사용자의 권리를 침해하는 행위를 한다면 더 이상 안티 스파이웨어가 아닌 스파이웨어로 분류되는 것이 마땅하다. 특히나 안티 스파이웨어는 단순 영리 추구보다는 도덕성을 바탕으로 한 공익 추구가 주된 목적이 되어야 한다. 인터넷이 보편화 되면서 각종 애드웨어와 스파이웨어가 난무하는 현재, 프로그램 제작자들의 의식 개선이 절실하다.@
[저자] 안철수연구소 ASEC 분석2팀 주설우 연구원
'세상만사 이모저모 > 컴퓨터·인터넷 및' 카테고리의 다른 글
| 배너만들기 (0) | 2007.01.14 |
|---|---|
| 1부 ''나도 모르게 설치된'' ActiveX 삭제하기 ... (0) | 2007.01.13 |
| 스파이웨어, 바이러스에서 내 PC 지키기 ... (0) | 2007.01.13 |
| 윈도XP 초절정 팁 16가지 (0) | 2007.01.07 |
| 光 컴퓨팅의 핵심, 빛의 속도를 제어하는 기술 (0) | 2007.01.07 |
댓글