해킹 당한 후 증상들 #3

해킹 당한 후 증상들 #1 을 보신 분이라면 작업관리자나 관리도구에 있는 서비스를 열고 열심히 자신의 컴퓨터를 보셨을겁니다. 그리고 많은 분들이 안심을 하셨으니라 봅니다. 하지만 꼭 그런것도 아닙니다. 실제로 그런 경우가 있냐고요? 있습니다.

예를 들면 다음과 같은 환경입니다.

 

의외로 별거 없이 깨끗하게 보이는 환경입니다. 특별히 눈에 띄는 프로그램도 없고 깨끗하게 보입니다. 그런데 정말 그럴까요? 혹시 예전의 글 2007/08/01 - [FAQ Topics/해킹/웜/바이러스] - 루트킷과 같이 숨겨진 파일을 찾는 방법은? 나 2007/07/30 - [FAQ Topics/해킹/웜/바이러스] - "IceSword" 소개 를 기억하시는 분이 있으신지 모르겠네요. IceSword를 이용하여 시스템을 잠시 봤습니다.

파일명은 괜찮은거 같은데, 파일이 있는 위치가 정말 이상합니다. $NtServicePackUninstall$\spuninst\com1 밑에 있는건 확실히 이상합니다. 분명 서비스팩이나 핫픽스가 설치된 백업 파일은 제거용으로만 사용될텐데 말이지요. 이렇게 이상하다고 생각하고 있을 때, IceSword의 다른 기능을 보았습니다.

 처음에 봤던 작업관리자에는 기록이 안된 프로세스가 실행되었음이 남아 있네요. 그래서 실행 프로세스 쪽을 보았더니....

 

빨갛게 된 프로그램들 보이시죠? 실행이 되고 있다고 나옵니다. 하지만, 여전히 작업 관리자에서는 나오지 않습니다. 그래서 이 프로세스들을 모두 강제 종료시켜 봤습니다. 그랬더니 신기하게 작업 관리자에 안보이던 프로그램들이 등장했습니다.

이것이 바로 루트킷을 이용한 해킹툴을 심은 것이지요. 물론 이러한 것은 관리도구-서비스에서도 확인이 가능합니다.

 

 

해킹으로 의심이 된다면, 눈에 보이는 것만을 믿지 마십시오. 눈에 보이지 않는 해킹툴을 만드는 것도 충분히 가능합니다.