IRC 뒷문 바이러스 및 수 동 제거 방법

2004 년 초 IRC 뒷문 바이러스 가 전 세계 인터넷 에서 대규모로 발생 하기 시작 했다.한편 으로 는 로 컬 정 보 를 잠재 적 으로 누설 할 위험 이 있 고,다른 한편 으로 는 바이러스 가 로 컬 네트워크 에 나타 나 네트워크 를 막 아 정상 적 인 작업 에 영향 을 주어 손실 을 초래한다.  또한 바이러스 의 소스 코드 가 공개 되 어 있 기 때문에 누구나 소스 코드 를 받 은 후에 조금 만 수정 하면 새로운 바 이러 스 를 컴 파일 하여 생 성 할 수 있 고 서로 다른 껍질 을 더 해 IRC 뒷문 바이러스 변종 이 대량으로 생 겨 날 수 있다.또 일부 바 이러 스 는 운행 할 때마다 변형 되 어 바이러스 검사 에 큰 어려움 을 겪 는 다.본 고 는 먼저 기술적 인 측면 에서 IRC 뒷문 바 이러 스 를 소개 한 다음 에 수공 으로 제거 하 는 방법 을 소개 한다.  기술 보고서  IRC 바 이러 스 는 해 킹,웜,뒷문 기능 을 하나 로 묶 어 랜 을 통 해 디 렉 터 리 와 시스템 구멍 을 공유 해 전파 한다.바 이러 스 는 자체 적 으로 간단 한 구령 사전 을 가지 고 있 으 며,사용자 가 비밀 번 호 를 설정 하지 않 거나 비밀번호 가 너무 간단 하면 시스템 이 바이러스 의 영향 을 받 기 쉽다.  바이러스 가 실행 되면 시스템 디 렉 터 리 에 자신 을 복사 합 니 다(Win 2K/NT/XP 운영 체 제 는 시스템 디스크 의 system 32,win9x 는 시스템 디스크 의 system)이 고 파일 속성 이 숨 어 있 으 며 이름 이 정 해 지지 않 습 니 다.여 기 는 xxx.exe 라 고 가정 하면 아이콘 이 없습니다.바 이러 스 는 동시에 레 지 스 트 시작 항목 을 쓰 고 항 명 이 정 해 지지 않 으 며 yy 라 고 가정 합 니 다.바이러스 에 따라 작 동 항목 도 다 르 지만 모두 이 항목 을 포함 하고 있 을 것 입 니 다.  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion  \Run\yyy : xxx.exe  다른 가능 한 항목 은:  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion  \Run\ yyy : xxx.exe  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion  \RunServices\ yyy : xxx.exe  다음 두 가 지 를 쓰 는 경우 도 있다.  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion  \RunOnce\yyy : xxx.exe  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion  \RunOnce\yyy : xxx.exe  또 일부 IRC 바 이러 스 는 2K/NT/XP 에서 자신 을 서비스 시작 으로 등록 하기 도 한다.  바 이러 스 는 일정 시간 마다 특정 IRC 서버 채널 에 자동 으로 접속 해 해 해 킹 통 제 를 위 한 준 비 를 한다.해커 는 채 팅 방 에서 서로 다른 조작 명령 만 보 내 면 바 이러 스 는 현지에서 서로 다른 조작 을 수행 하고 로 컬 시스템 의 귀환 정 보 를 채 팅 방 으로 돌려 보 내 사용자 정보의 유출 을 초래한다.이런 뒷문 통제 체 제 는 비교적 참신 하 다.즉시 사용자 가 손실 을 감지 하고 해커 를 추적 하 는 것 도 매우 어렵다.  바 이러 스 는 현재 인접 한 네트워크 안의 기 계 를 스 캔 하고 로그 인 비밀 번 호 를 추측 할 것 이다.이 과정 은 대량의 네트워크 대역 폭 자원 을 점용 하여 랜 이 막 히 기 쉬 우 며 국내 많은 기업 사용자 들 의 업무 가 모두 이 로 인해 영향 을 받는다.  IRC 바이러스 에 의 해 제어 되 는 컴퓨터 를 보호 하기 위 한 목적 으로 일부 IRC 바 이러 스 는 익명 로그 인 기능 과 DCOM 기능 을 취소한다.익명 로그 인 을 취소 하면 다른 바이러스 가 암 호 를 알 아 맞 혀 자신 을 감염 시 키 는 것 을 막 을 수 있 으 며,DCOM 기능 을 사용 하지 않 으 면 RPC 구멍 을 이용 해 전 파 된 다른 바이러스 로부터 시스템 이 영향 을 받 지 않도록 할 수 있다.  2.수 동 제거 방법  모든 IRC 뒷문 바 이러 스 는 레 지 스 트 HKEY 에 있 습 니 다.LOCAL_MACHINE\\Software\Microsoft\Windows\Current Version\Run 에서 시작 항목 을 추가 하고 항목 값 은 파일 이름 만 있 으 며 경 로 를 가지 고 있 지 않 습 니 다.이것 은 추적 단 서 를 제공 합 니 다.다음 몇 단 계 를 통 해 우 리 는 안전하게 IRC 바 이러 스 를 제거 할 수 있다.  1.레 지 스 트 편집기 열기,HKEY 위치 지정LOCAL_MACHINE\\Software\Microsoft\Windows\Current Version\Run 항목,수상 한 파일 을 찾 는 항목.  2.작업 관리자(Alt+Ctrl+Del 을 누 르 거나 작업 표시 줄 에서 마우스 오른쪽 단 추 를 누 르 고'작업 관리자'를 선택)를 열 고 레 지 스 트 파일 항목 에 대응 하 는 프로 세 스 를 찾 아 끝 냅 니 다.프로 세 스 가 끝나 지 않 으 면 보안 모드 로 전환 하여 작업 할 수 있 습 니 다.보안 모드 에 들 어 가 는 방법 은 컴퓨터 를 시작 하고 시스템 이 윈도 우즈 시작 화면 에 들 어가 기 전에 F8 키(또는 컴퓨터 를 시작 할 때 Ctrl 키 를 누 르 고 놓 지 않 음)를 누 르 고 나타 나 는 시작 옵션 메뉴 에서'Safe'를 선택 하 는 것 입 니 다. Mode"또는"보안 모드".  3.이 어'내 컴퓨터'를 열 고'도구'메뉴 에서'폴 더 옵션'을 선택 하고'모든 파일 표시'를 선택 한 다음'확인'을 클릭 합 니 다.시스템 폴 더 에 들 어가 서 수상 한 파일 을 찾 아 옮 기거 나 삭제 하면 바 이러 스 는 제거 된다.  4.마지막 으로 레 지 스 트 리 지 에 있 는 바이러스 의 시작 항목 을 수 동 으로 제거 할 수 있 고 서성 레 지 스 트 리 지 복구 도 구 를 사용 하여 제거 할 수 있 습 니 다.  만약 당신 이 서성 백신 소프트웨어 에서 찾 을 수 없 는 IRC 바 이러 스 를 발견 했다 면,서성 신 바이러스 보고 사이트 에 접속 하 는 것 도 환영 합 니 다.http://up.rising.com.cn)견본 을 업로드 한다.  3.안전 건의  1.좋 은 안전 습관 을 세운다  정체 불명 의 메 일과 첨부 파일 을 쉽게 열지 말고 낯 선 사이트 에 쉽게 접속 하지 마 세 요.인터넷 에서 다운로드 한 파일 은 먼저 마 약 을 찾 아 실행 해 야 한다.  2.시스템 에 필요 하지 않 은 서 비 스 를 닫 거나 삭제 합 니 다.  기본 적 인 상황 에서 운영 체제 에 보조 서 비 스 를 설치 합 니 다.예 를 들 어 FTP 클 라 이언 트,Telnet 화해시키다 Web 서버이 서비스 들 은 공격 자 들 에 게 편 의 를 제공 하고 대부분의 사용자 들 에 게 는 소 용이 없다.그것들 을 삭제 하면 공격 당 할 가능성 을 크게 줄 일 수 있다.  3.항상 보안 패 치 승급  대부분의 인터넷 바 이러 스 는 충격파,진동 파,SCO 폭탄 AC/AD 등 시스템 및 IE 보안 구멍 을 통 해 전파 되 는 것 으로 집계 됐다.기계 에 구멍 이 있 으 면 바이러스 가 반복 적 으로 감염 되 어 깨끗이 제거 할 수 없다.따라서 반드시 정기 적 으로 마이크로소프트 업그레이드 사이트 에 접속 해 야 한다.http://windowsupdate.microsoft.com)최신 보안 패 치 를 다운로드 합 니 다.또한 서성 백신 소프트웨어 에 첨부 된'서성 구멍 스 캔'을 사용 하여 정기 적 으로 시스템 을 검사 할 수 있다.  4.복잡 한 비밀번호 설정  많은 인터넷 바 이러 스 는 간단 한 암 호 를 추측 하 는 방식 으로 시스템 을 공격한다.따라서 복잡 한 암호(대소 문자,숫자,특수 기호 혼합,8 비트 이상)를 설정 하면 컴퓨터 의 안전 계 수 를 크게 높 여 바이러스 에 공격 당 할 확률 을 줄 일 수 있다.  5.감 염 된 컴퓨터 를 신속하게 격 리  컴퓨터 가 바이러스 나 이상 상황 을 발견 하면 즉시 네트워크 연결 을 차단 하여 컴퓨터 가 더욱 심각 한 감염 이나 파 괴 를 받 거나 전파 원 이 되 어 다른 컴퓨터 에 감염 되 는 것 을 방지 해 야 합 니 다.  6.반 바이러스 정 보 를 자주 알 아 본다.  정보 보안 업 체 의 공식 홈 페이지 에 자주 접속 하여 최신 정 보 를 알 아 본다.이렇게 하면 당신 은 제때에 새로운 바 이러 스 를 발견 하고 컴퓨터 가 바이러스 에 감 염 될 때 제때에 정확 한 처 리 를 할 수 있 습 니 다.예 를 들 어 레 지 스 트 의 지식 을 알 면 레 지 스 트 자체 시작 항목 에 수상 한 키 가 있 는 지 정기 적 으로 확인 할 수 있다.프로그램 프로 세 스 지식 을 알 면 메모리 에 수상 한 프로그램 이 있 는 지 확인 할 수 있 습 니 다.  7.가장 좋 은 것 은 전문 적 인 방독 소프트웨어 를 설치 하여 전면적 인 모니터링 을 하 는 것 이다.  바이러스 기술 이 날로 발전 하 는 오늘날,전문 적 인 반 바이러스 소프트웨어 를 사용 하여 컴퓨터 를 보호 하 는 것 은 여전히 정보 안전 을 확보 하 는 가장 좋 은 선택 이다.사용 자 는 반 바이러스 소프트웨어 를 설치 한 후에 반드시 실시 간 감시 기능 을 켜 고 최신 바 이러 스 를 예방 하기 위해 자주 업 그 레이 드 를 해 야 컴퓨터 의 안전 을 진정 으로 보장 할 수 있다.