스 레 드 삽입 식 목마 찾기 및 제거

현재 인터넷 상에 서 가장 창궐 하고 있 는 바 이러 스 는 목마 프로그램 이 아 닌 것 으로 추정 된다.특히 지난 2004 년 목마 프로그램의 공격 성도 크게 강화 되 었 다.프로 세 스 숨 김 에 있어 비교적 큰 변경 을 했다.독립 된 EXE 실행 가능 한 파일 형식 을 사용 하지 않 고 커 널 삽입 방식,원 격 스 레 드 삽입 기술,PSAPI 연결 등 으로 바 뀌 었 다.이 목마 들 도 현재 가장 대처 하기 어렵다.이번 호 에 서 는 스 레 드 삽입 식 목 마 를 찾 고 제거 하 는 것 을 알려 드 리 겠 습 니 다.  작업 단계:  1.자동 운행 기 제 를 통 해 목마 찾기  목 마 를 찾는다 고 하면 많은 사람들 이 목마 의 시동 항 을 통 해'거미줄 과 말 자국'을 찾 을 생각 을 하 게 된다.구체 적 인 곳 은 보통 다음 과 같은 몇 군데 가 있다.  1)레 지 스 트 시작 항목:  "시작/실행"에"regedit.exe"를 입력 하고 레 지 스 트 편집 기 를 열 고[HKEY]를 차례로 펼 칩 니 다.CURRENT_USER\\Software\Microsoft\\Windows\Current Version\\]과[HKEYLOCAL_MACHINE\\SOFTWARE\Microsoft\Windows\Current Version\\]는"Run"으로 시작 하 는 모든 항목 을 살 펴 보고 그 아래 에 새로 추 가 된 키 와 의 심 스 러 운 키 가 있 는 지,키 가 가리 키 는 파일 경 로 를 통 해 새로 설 치 된 소프트웨어 인지 목마 프로그램 인지 판단 할 수 있 습 니 다.  그리고[HKEY] LOCAL MACHINE\\Software\classes\exefile\\shell\open\\command\\]키 값 도 목 마 를 불 러 오 는 데 사용 할 수 있 습 니 다.예 를 들 어 키 값 을"X:\windows\system\ABC.exe"로 수정 할 수도 있 습 니 다. "%1"%”。  2)시스템 서비스  일부 목 마 는 서비스 항목 을 추가 하여 자체 시작 을 실현 합 니 다.레 지 스 트 편집 기 를 열 수 있 습 니 다.[HKEY]에서LOCAL_MACHINE\\SOFTWARE\Microsoft\Windows\Current Version\\Runservices]에서 수상 한 키 를 찾 고[HKEYLOCAL_MACHINE\\SYSTEM\Current Control Set\Service\\]에서 보 는 수상 한 홈 키 입 니 다.  그 다음 에 목마 가 추가 한 서비스 항목 을 사용 하지 않 거나 삭제 합 니 다.'실행'에'services.msc'를 입력 하여 서비스 설정 창 을 열 면 시스템 의 모든 서비스 항목 과 상태,시작 유형 과 로그 인 특성 등 정 보 를 표시 합 니 다.목마 가 시작 하 는 서 비 스 를 찾 아 두 번 눌 러 서 열 고 시작 유형 을'사용 하지 않 음'으로 바 꾸 고 확인 한 후 종료 합 니 다.레 지 스 트 를 통 해서 도 수정 이 가능 해'HKEYLOCAL_MACHINE\\SYSTEM\Current Control Set\Services\서비스 디 스 플레이 이름 키 는 오른쪽 창 에서 바 이 너 리 값'Start'를 찾 아 수 치 를 수정 합 니 다.'2'는 자동 으로,'3'은 수 동 으로,'4'는 사용 하지 않 음 을 표시 합 니 다.물론 전체 키 를 직접 삭제 하 는 것 이 좋 습 니 다.평소에 레 지 스 트 를 통 해 기능 을 내 보 내 고 수시로 대조 할 수 있 도록 백업 할 수 있 습 니 다.  　　 3)시작 메뉴 시작 그룹  　　 현재 의 목 마 는 대부분 시작 메뉴 를 통 해 무 작위 로 시작 하지 않 지만 방심 해 서 는 안 된다.'시작/프로그램/시작'에 추 가 된 항목 이 발견 되면'대상 찾기'를 오른쪽 클릭 하여 파일 디 렉 터 리 에서 볼 수 있 습 니 다.파일 경로 가 시스템 디 렉 터 리 라면 더욱 조심해 야 합 니 다.레 지 스 트 에서 직접 확인 할 수도 있 습 니 다.그 위 치 는[HKEYCURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders],키 이름 은 Startup 입 니 다.  4)시스템 INI 파일 Win.ini 와 System.ini  시스템 INI 파일 인 Win.ini 와 System.ini 리 도 목마 가 은폐 하 는 것 을 좋아 하 는 장소 다."시작/실행"을 선택 하고"msconfig"를 입력 하여 시스템 설정 유 틸 리 티 를 조정 하 십시오.Win.ini 의[Windows]소절 에 있 는 load 와 run 필드 뒤에 수상 한 프로그램 이 있 는 지 확인 하 십시오.일반적인 상황 에서"="뒤 에는 공백 입 니 다.그리고 System.ini 의[boot]소절 에 있 는 Shell=Explorer.exe 뒤에 도 검 사 를 해 야 합 니 다.  5)일괄 처리 파일  하면,만약,만약... 9X 시스템,CD 루트 디 렉 터 리 아래'AUTOEXEC.BAT'와 WINDOWS 디 렉 터 리 아래'WinStart.bat'두 개의 일괄 처리 파일 도 살 펴 봐 야 합 니 다.이 명령 은 일반적으로 설 치 된 소프트웨어 에서 자동 으로 생 성 되 며 시스템 기본 값 에 자동 으로 불 러 옵 니 다.일괄 처리 파일 문장 앞 에"echo"를 추가 합 니 다. "off"시작 할 때 명령 의 실행 결과 만 표시 하고 명령 자 체 를 표시 하지 않 습 니 다.앞 에'@'문 자 를 하나 더 넣 으 면 힌트 가 나타 나 지 않 습 니 다.예전 의 많은 목마 들 이 이 방법 을 통 해 실 행 했 습 니 다.  2.문서 비교 로 목마 찾기  최근 에 새로 출현 한 목마.홈 프로그램 이 성공 적 으로 불 러 오 면 시스템 프로 세 스 SPOOlsV.EXE 에 자신 을 스 레 드 로 삽입 한 다음 시스템 디 렉 터 리 에 있 는 바이러스 파일 과 바이러스 가 레 지 스 트 에 있 는 시작 항목 을 삭제 하여 반 바이러스 소프트웨어 와 사용자 가 알 아 보기 어렵 게 한 다음 에 사용자 가 전원 을 끄 고 다시 시작 하 는 지 감시 합 니 다.있 으 면...시스템 이 닫 히 기 전에 바이러스 파일 과 레 지 스 트 시작 항목 을 다시 만 듭 니 다.아래 의 몇 가지 방법 은 그것 을 원형 으로 나 타 낼 수 있다. XP 시스템 예):  1)백업 의 일반적인 프로 세 스 대조  수상 한 프로 세 스 를 찾 을 수 있 도록 프로 세 스 목록 을 백업 할 수 있 습 니 다.방법 은 다음 과 같다.켜 진 후 다른 작업 을 하기 전에 백업 을 시작 하면 다른 프로그램 이 프로 세 스 를 불 러 오 는 것 을 방지 할 수 있다.실행 중"cmd"를 입력 하고"tasklist"를 입력 하 십시오. /svc >X:\processlist.txt"(알림:따옴표 가 포함 되 지 않 습 니 다.매개 변 수 는 앞 에 빈 칸 을 두 고 뒤에 파일 저장 경 로 를 남 겨 두 어야 합 니 다)리 턴 합 니 다.이 명령 은 프로그램 과 로 컬 또는 원 격 시스템 에서 실행 중인 작업/프로 세 스 의 목록 을 표시 할 수 있 습 니 다.입력"tasklist /？”이 명령 의 다른 인 자 를 표시 할 수 있 습 니 다.  2)백업 시스템 DLL 파일 목록 대조  독립 된 프로 세 스 가 없 는 DLL 목마 에 대해 서 는 어떻게 합 니까?목마 가 DLL 파일 의 아 이 디 어 를 쳤 으 니 이 파일 부터 시작 할 수 있 습 니 다.일반 시스템 DLL 파일 은 system 32 폴 더 에 저 장 됩 니 다.이 디 렉 터 리 에 있 는 DLL 파일 이름 등 정 보 를 목록 으로 만 들 고 명령 행 창 을 열 고 CD 명령 을 이용 하여 system 32 디 렉 터 리 에 들 어간 다음'dir'를 입력 할 수 있 습 니 다. *.dll>X:\\listdll.txt"를 두 드 리 면 모든 DLL 파일 이름 이 listdll.txt 파일 에 기 록 됩 니 다.앞으로 목마 침입 이 의심 된다 면 위의 방법 으로 파일 목록'listdll 2.txt'를 백업 한 다음'UltraEdit'등 텍스트 편집 도 구 를 이용 하여 비교 할 수 있 습 니 다.또는 명령 행 창 에 파일 저장 디 렉 터 리 에 들 어가"fc"를 입력 하 십시오. listdll.txt "listdll 2.txt"는 변경 사항 과 새로 추 가 된 DLL 파일 을 쉽게 발견 하여 목마 파일 인지 여 부 를 판단 할 수 있 습 니 다.  3)불 러 온 모듈 대조  잦 은 설치 소프트웨어 는 system 32 디 렉 터 리 의 파일 에 큰 변 화 를 일 으 킬 수 있 습 니 다.이 때 불 러 온 모듈 을 대조 하 는 방법 으로 검색 범 위 를 좁 힐 수 있 습 니 다."시작/실행"에"msinfo32.exe"를 입력 하여 열기 “시스템 정보'는'소프트웨어 환경/로 딩 모듈'을 펼 친 다음'파일/내 보 내기'를 선택 하여 텍스트 파일 로 백업 하고 필요 할 때 하 나 를 백업 하여 비교 하면 됩 니 다.  4)수상 한 포트 보기  모든 목 마 는 연결 만 하면 데 이 터 를 받 거나 보 내 면 포트 가 열 리 고 DLL 목마 도 예외 가 아 닙 니 다.여기 서 는 netstat 명령 으로 열 린 포트 를 봅 니 다.우 리 는 명령 행 창 에"netstat"를 입력 합 니 다. -"an"은 모든 연결 과 검색 포트 를 표시 합 니 다.Proto 는 연결 에 사용 되 는 프로 토 콜 이름 을 말 합 니 다.Local address 는 로 컬 컴퓨터 의 IP 주소 와 연결 에 사용 되 는 포트 번호,Foreign 입 니 다. Address 는 이 포트 를 연결 하 는 원 격 컴퓨터 의 IP 주소 와 포트 번호 이 고 State 는 TCP 연결 상 태 를 나타 낸다.Windows XP 에 있 는 netstat 명령 은 이전 버 전보 다-O 인자 가 하나 더 많아 졌 습 니 다.이 인 자 를 사용 하면 포트 와 프로 세 스 를 대응 할 수 있 습 니 다."netstat"입력 /？”이 명령 의 다른 인 자 를 표시 할 수 있 습 니 다.  이 어 열 린 포트 를 분석 하여 구체 적 인 프로 세 스 로 범 위 를 좁 힌 다음 프로 세 스 분석 소프트웨어,예 를 들 어'WINDOWS 최적화 마스터'디 렉 터 리 에 있 는 WinProcess.exe 프로그램 을 사용 하여 끼 워 넣 은 목마 프로그램 을 찾 을 수 있 습 니 다.일부 목 마 는 포트 납치 나 포트 재 활용 방법 으로 통신 을 하 는데,일반적으로 139,80 등 상용 포트 를 선택 하기 때문에 분석 할 때 주의해 야 한다.또한 네트워크 탐지 소프트웨어(예 를 들 어 Commview)를 이용 하여 열 린 포트 가 도대체 어떤 데 이 터 를 전송 하고 있 는 지 알 수 있다.