좀비 PC 확인 및 치료방법

또다시 두번째 Ddos 의 공격이 있었습니다.
이번이 먼저보다 더 강하다고 하네요.

▶ 뉴스 보러 가기

이런류의 공격은 한 대에서 이뤄지는 것이 아니라
다른 PC들을 감염시킨 후 감염된 PC 를 일괄적으로 작동시켜 목표하는 시스템의 장애를 발생시키는 방법을 사용합니다.

그 과정에서 사용된 "다른 PC" 를 바로 "좀비 PC" (악성 봇) 이라고 하고
말 그대로 스스로 동작은 못하며 원 컴퓨터의 지시를 받아야 동작하는 PC 입니다.

그러니 정작 좀비 PC 의 주인도 내 PC 가 좀비로 감염되어 있는지 모르고 있을 수 밖에요.

좀비 PC 를 마음대로 조종할 수 있으니 어떤 악성적인 지시를 내릴지 모르는 상황이고,
현재는 좀비 PC 의 하드 디스크 파괴 명령이 지시되었다고 합니다.
 
내 PC 가 "좀비 PC" 인지 확인하고 치료하는  방법입니다.
(악성코드는 P2P 를 통해 급속히 유포되므로, 당분간은 접속 자제를 하심이 좋을 듯 합니다.)

* 컴퓨터 정말 왕 초보인 분들은 이 글의 맨 아래쪽 동영상을 보셔요. ^^


[증상]

평소에 드러나는 증상은 없습니다.
특별히 눈에 띄게 동작하지는 않고, 감염 주체가 지시를 내려 내 PC가 동작을 해야만 알 수 있습니다.
다만 PC 가 평상시 보다 느려지거나 시스템 자원 소모가 늘어날 경우 의심 정도는 되겠네요. 
그래서 더 무섭습니다.


[선행작업]

1. PC 뒤에서 Lan 선을 뺍니다.
2. PC 에 전원을 넣고 'F8' 키를 눌러 네트워크가 가능한 안전모드를 선택, 부팅합니다.
   (윈도우 7에서는 부팅시 'F5' 키를 눌러 고급모드로 들어간 후, 다시 'F8' 키를 눌러야 안전모드 사용이 가능합니다.)
3. 네트워크를 다시 연결한 후 아래 [확인방법] 을 참고하여 검사를 진행합니다.
4. 악성코드를 치료한 뒤 PC 를 다시 부탕합니다.

* 선행작업 없이 감염 확인을 하실 수는 있지만...
   하드디스크 파괴 명령이 내려진 상태라서 불안하기는 하네요.


[확인방법 1]

1. 모니터 좌측 하단의 "시작" → "실행" 을 클릭하면 아래의 창이 열립니다. 

 2. cmd 를 입력하고 "확인" 을 클릭합니다.
 3. 검은색 창이 열리고 커서가 깜빡거리는 곳에 "netstat -n" 을 적은 후 Enter 키를 치면
     아래의 결과가 리스트로 주욱 보입니다.

     * 일부 안내에서는 "netstat -b" 옵션을 말씀도 하시는데, -n 이 보기 편하실꺼에요.

 4. 현재 내가 접속하거나 접속을 받고 있는 IP 주소 목록 입니다. 
    지금 좀비 PC 가 되었다면 동작하고 있을테니 금방 보여지겠지요?
    상단 그림에서 외부주소인 "Foreign Address" 에 나타난 IP 주소 중 " : " 다음에 나타난 숫자가 "8080" 이 보인다면..

    짝짝짝! 축하합니다. 감염이 되신 것 같네요. ㅡㅡ^

    * 그림에 "80" 도 있는데, 저건 아니냐구요? 죄송하지만, 그건 아닙니다. 무도 자막 버전으로 "80 x2" 입니다.
    * 이용자 PC 마다 조금씩은 다를 수 있습니다.

    평소에 파일을 다운로드 받으실때는 항상 주의를 해 주셔야 합니다.


[확인방법 2 & 치료방법]

확인방법 1 외에도 치료까지 편하게 할 수 있습니다.

1. 웹 사이트 http://www.boho.or.kr/ 에 접속합니다. (한국 인터넷 진흥원 입니다.)
2. 접속 후 아래의 메뉴로 순서대로 클릭하여 이동합니다. (① → ② → ③)

3. ③ 번을 클릭한 후에는 아래의 다운로드 창에서 "실행" 을 눌러줍니다.
    (원할 경우 "저장" 을 하셔도 관계는 없습니다. 안전한 파일이니까요.)

   
 4. 다음은 "실행" 을 합니다.
 

 5. 이제 백신이 가동되며 진단을 시작합니다.

6. 검사 및 치료가 완료되었으면 재부팅을 합니다.

* 아래 동영상은 왕초보 분들을 위한 악성코드 검사 및 치료방법 동영상 입니다. (출처 : 보안뉴스)