본문 바로가기

IT/컴퓨터

좀비 pc로 부터 해방 되려면...[ 좀비pc ]

요근래 농협사태나 현대캐피탈 사건으로 인해 해킹에 대한 관심이 높아지고 있는듯 합니다.

좀더 시간을 거슬러 올라가보면 좀비PC로 인해, 기사&뉴스&심지어 검색어TOP10위안에 들었던 적도 있고...

그런 기사들을 보면서 선의의 피해자들이 발생할지도 모른다는 생각에 짧은 지식이지만 간단히 포스팅을 해보고자 합니다.
 
제 블로그에 어떤 수준의 분들이 오실지 (물론 고수분들은 이런 글 찾으실분들이 없겠지만 ^ 0^);; ) 모르지만
 
일단 초보자 분들을 대상으로 나름 쉽게 설명을 해보도록 하겠습니다.


좀비PC에 감염되는 유형은 많겠지만 가장 흔한 경우를 나열해 본다면 다음의 상황들이 있을수 있습니다.
 
1) 파일공유(p2p) & 웹하드 같은 사이트에서 감염된 파일을 받을 경우
 
2) 백신을 설치하지 않았거나 설치했어도 검사를 실행하지 않았을 경우
 
3) 서명되지 않은 사이트 접촉해서 파일 실행했을 경우
 
등등의 경우가 대표적입니다.
 
관심있는 분들이라면 요근래 여러 사태로 인해서 아이피(IP)나, 포트(port)등의 명칭들을 접했을 겁니다.
 
하지만, 좀비포트를 단순하게 몇가지 안되는 걸로 착각하고 계시는분들이 있습니다.
 
예로 들면 8000,8080,80 으로 생각하고 있는것 같습니다.
 
포트는 일정사이트가 사용하는 포트도 있으니 참고해주시기 바라며,
 
8000은 많이 의심해야 할 포트입니다.
 
8080도 많이 의심해야 할 포트인데, 다수 사이트에 등록이 되어있는 포트 입니다.
 
80은 대부분의 인터넷포트 입니다. 하지만 " 넷x " , " x봇 " 같은경우는 80포트를 쓰니
 
참고 해두시기 바랄게요.
  
그리고, 좀비PC를 확인하는방법은 단순히 2가지가 있습니다.
 
1가지는 cmd > netstat /b  또는 netstat /a 등등 cmd를 이용해서 확인하기
 
1가지는 프로세서 창을 열어 프로세서를 직접 꺼주는 방법 입니다.
 
프로세서를 꺼주면 재부팅까지는 안심할수 있습니다.
 
하지만 치료를 해주지 않으면, 재부팅후의 일을 생각하셔야 겠죠
  

위의 내용대로 좀비PC의 대부분 포트를 알려드리겠습니다.
  
1. iexplore.exe
 
-익스플로러의 프로세서를 빼낀 프로세서 입니다.
 
대부분 모르고 지나치시더군요.  아래 그림을 참고해주세요

 웹하드, 좀비pc, 안철수연구소, 현대캐피탈, 농협해킹,
(작업관리자를 통해 확인 가능합니다.)
 
 여기서 6,784KB가 컴퓨터에 사용되고 있는 메모리 입니다.
 
 프로세서창을 열어서 숫자가 올라가지 않거나 내려가지 않으면 좀비PC일 확률있고,
 
 익스플로러는 대부분 메모리사용량이 만대 숫자리입니다. (예로들면 92,842KB)
 
 숫자가 낮은 익스플로러 프로세서는 의심해보셔야 합니다.
 
 또한, 브라우져를 실행하지도 않았는데 프로세서에 있다면 꺼줍시다.
 
2. notepad.exe
 
-텍스트문서(메모장)의 프로세서를 빼낀 프로세서 입니다.
 
이 프로세서를 쓰는 사람들은 거희 없으므로 설명은 간단히 하겠습니다.
 
이것도 메모리 마찮가지고, cmd에 notepad.exe가 뜨고,포트가 뜬다면 지워주세요
 
메모장을 키지도 않았는데, 프로세서에 있다면 꺼줍시다.
 
3. svchost.exe
 
-대부분 쓰는 프로세서 입니다. 메모리는 위의 내용들과 같습니다.
 
프로세서에서 찾기 힘든 녀석 입니다. 컴퓨터에 svchost라는 프로세서가 기본4~5개는 있기 때문입니다.그러므로 cmd에 svchost가 뜬다면 즉시 모뎀에 선을 뽑으시고, 백신을 정밀검사를 권합니다. 잘못끄다 오류창이 뜹니다. 혹시 뜨셧다면 cmd를 여신후 shutdown -a
 
이외 프로세서는 "해킹툴"을 쓰는 사람들 임의로 정할수도 있는 것이 있습니다.
 
또한, 포트도 임의로 정할수 있습니다.
 
 
게임을 하고 있거나 동영상을 보고 있거나 음악을 틀어놓았을때 , 갑자기 꺼지거나 움직일때 또는 강제재부팅 , 해킹을 당했다 , 화면이 갑자기 Make Black(검정) 등의 현상을 겪으신분은 위의 내용대로 한번 따라해보시거나 아니면, 그 즉시 백신을 돌리시는것을 권합니다.
 
 
cmd로 확인을 하시고 싶으시면 꼭 cmd > netstat /b 로 해주시면 괜찮으실겁니다.
 
netstat /b 는 프로세서 명칭 까지 확인 해줍니다.
 
좀비포트 의심 (1454,5005,5002,4443,8000,8080,9000,10000등등)
 
의심가는 포트가 있다면 무조건 백신을 돌려주세요.
 
백신은 일반검사로 돌리시면 , 해킹툴(Trojan)이 검출되지 않습니다.
 
또한, 프로그램을 모두 닫으신후, 랜선을 뽑으시고, 정밀검사를 돌려주셔야 합니다.

가끔 netstat /b 명령어를 입력했을때 다음과 같은 메세지가 뜰수도 있습니다.(windows 7의 경우) 

웹하드, 좀비pc, 안철수연구소, 현대캐피탈, 농협해킹,


그런 경우엔 다음과 같이 관리자 권한으로 실행을 하시면 문제 없이 실행될것입니다.

웹하드, 좀비pc, 안철수연구소, 현대캐피탈, 농협해킹,
(시작 -> 모든 프로그램 -> 보조프로그램 -> 명령 프롬프트(마우스 우클릭) -> 관리자 권한으로 실행(A))

웹하드, 좀비pc, 안철수연구소, 현대캐피탈, 농협해킹,

빨간줄 : 포트
흰색줄 : 아이피
파란줄 : 프로세서명
 
(※ 이처럼, 프로그램을 킨상태로 cmd 명령어 입력할경우, 저렇게 포트가 뜹니다.)
 
바로 위 이미지의 왼쪽 상단쪽(afreecaplayer.exe)을 설명하자면 아프리카TV를 킨후 cmd를 한것입니다. 오해하는 일 없길 바랍니다.
 
좀비로 감염이된후, 설명을 드렸어야 됫는데 죄송합니다. (--)(__)
  

일단, 좀비PC를 피하시는방법 또는 대처법을 알려드리겠습니다.
 
1. 반드시 백신을 설치 해두시기 바랍니다.
 
2. 백신은 "실시간감시" 를 꼭 켜두시기 바랍니다.
 
( 백신의 업데이트를 매일 확인 합시다. 업데이트를 하지 않으면 잡는 바이러스도,성능도 떨어지기 때문에 귀찮으시더라도, 확인을 해줍시다. )
 
3. 안철수연구소에서 배포하는 키보드보안 방지 프로그램을 써줍시다. 
( 꼭 쓰진 않으셔도 무방합니다. )
 
4. 일주일에 적어도 2번정도는 정밀검사를 돌려줍시다.(랜선 뽑고 프로그램 다 닫고.)
 
 
방화벽은 사용함 으로 체크 해주시는게 좋습니다.
 
 
요즘 해킹툴을 사용하는 유저들은
 
파일에 서버파일을 심어, 백신을 우회 합니다.
 
백신을 우회한다는 뜻은, 파일을 받을때 백신이 감지를 못하게 패킹한다는 뜻입니다.
 
하지만,정밀검사를 해주신다면 괜찮습니다.
 
 
 
마지막으로, 좀비PC를 치료하는 방법은 다음과 같이 매우 간단합니다.
 
1. 백신을 설치 합니다. 기존 사용자분은 사용
 
2. 백신을 최신버전으로 업데이트 해줍니다.
 
3. 인터넷선을 뽑아주신후, 인터넷이 끊킬때 까지 기다려줍니다.
 
4. 실행중인 프로그램을 모두 닫습니다.
 
5. 백신을 "정밀검사" 해주시고, 검사된 바이러스를 모두 치료 해줍니다.