본문 바로가기

은폐된 악성파일 수집 및 삭제 방법(Gmer)

악성코드는 시스템에서 오랜기간 생존하기 위해 보안 제품에 탐지 및 제거되지 않으려 다양한 방법을 사용합니다. 이러한 방법중 루트킷(RootKit) 을 이용하여 파일을 은폐하는 방법이 있습니다.

[루트킷(RootKit)]

시스템의 루트(Root) 권한을 얻는 도구(Kit), 루트킷을 사용하여 파일을 은폐하거나 쉽게 삭제할 수 없도록 할 수 있습니다.

은폐된 파일을 윈도우의 작업 관리자 창과 같이 일반적인 방법으로 확인할 수 없기 때문에 안티-루트킷 툴(Anti-RootKit Tool)을 사용해야 합니다.

이 글에서는 안티-루트킷 툴 중에서 GMER를 사용하여 은폐된 파일을 수집하고 삭제하는 방법에 대해서 알아보겠습니다. 시작에 앞서, 아래의 주소에서 GMER Application을 다운로드 하실 수 있습니다.

[GMER 다운로드 안내]

* GMER 공식 홈페이지 : http://www.gmer.net

* GMER Application 다운로드 http://www2.gmer.net/gmer.zip

GMER을 실행시켰을 때 은폐된 파일이 존재할 경우 아래와 같은 메세지박스가 출력됩니다. 그리고 은폐된 파일은 빨간색 글씨로 출력됩니다. 아래와 같은 메세지박스가 출력되면 "아니오"를 클릭하고 계속 진행하겠습니다.



우선 상기의 빨간색으로 표시된 은폐된 파일은 악성파일이므로 프로세스를 Kill 하겠습니다. 방법은 해당 파일에 우클릭을 한 후 "Kill process"를 클릭하시면 됩니다. 프로세스를 Kill한 후 ">>>" 탭을 클릭하면 다음 그림에서처럼 다른 탭들이 보여지게 됩니다.


 

[파일 수집]
"Files" 탭을 선택합니다. 그런 후 해당 파일이 존재하는 경로로 이동을 합니다.


파일을 수집하기 위해서는 오른쪽에 보이는 "Copy"를 클릭하셔서 임의의 경로에 저장을 하신 후 ZIP파일로 압축하셔서 [악성코드 신고센터 바로가기]로 보내주시면 됩니다.



[파일 삭제]
악성코드가 V3 엔진에 업데이트 되기 전에 치료를 원하실 경우, "Delete"를 클릭하여 삭제하시길 바랍니다.


글을 마치며...
주의하실 점은 은폐된 파일이라고 모두 악성파일이 아니라는 것입니다. 은폐된 파일을 Kill하고 Delete하시기 전에 꼭! 주위 전문가에게 정상 파일이 아닌지 확인해 보시기 바랍니다.


태그

  • v3 라이트사용자 2010.05.16 09:44 댓글주소 수정/삭제 댓글쓰기

    gmer를 안전모드에서 다운받아 실행하니 오류가 나서 치료가 안되는군요. 아이스워드도 실행시켜봣지만 실행되지 않습니다. v3 라이트에서는 검색은 되지만 치료가 안돼네요;

  • v3lite.. 2010.05.23 00:40 댓글주소 수정/삭제 댓글쓰기

    Trojan.Win32.Patched.al 이거 치료하려면 어떡하죠?

    한글이 안써져요..

    만약 C:\Windows\System32 폴더안에 imm32.bak 파일이 존재할 경우 imm32.dll 파일을 삭제하신 후 imm32.bak 파일의 확장자 'bak'를 'dll'로 변경해 주세요.
    이렇게쓰쎳길래 해보니깐 imm32.dll파일이두가지잇는데 한개가 안지워져요
    그래서 imm32.dll.bak파일이름이 안바껴요 help!!
    스샷어케찍는지모르겟어요

  • v3 오류 2010.07.22 17:03 댓글주소 수정/삭제 댓글쓰기

    icesword 도 안되네요 그래서 gmer로 했는데요 빨간파일이 떠서 우클릭 했는데요 킬프로세서가 클릭이 안됩니다.어찌해야 하나요...ㅜㅜ

  • 어찌하면 좋죠?? 2011.05.24 23:14 댓글주소 수정/삭제 댓글쓰기

    음.... Gmer를 쓰니 갑자기 꺼졌다 다시 켜지고요 Icesword는 실행이 안되요.
    initialize failed 라고 뜨면서요... 어떻게 해야하낭ㅅ...??