http://blog.naver.com/hahaj1?Redirect=Log&logNo=20063325353
혹시 링크가 깨질것을 우려하여
위 글을 그대로 Copy한 내용입니다.
[원인]
바이러스 백신 프로그램에서 바이러스를 제대로 처리하지 못하는 원인은, 크게 나눠보면 운영체제에 보안 결함이 있거나 또는 보안 제품의 성능 부족 등이라고 생각해 볼 수 있다. 또한 이미 바이러스에 감염된 컴퓨터에 백신을 설치하여 사후 해결하는 경우도 쉽지 않을 수 있다.
[현상]
알약 백신에서는 다음과 같은 개체(isys32.exe ; V.WOM.SillyFDC-CJ)가 검출되었다. 검사 완료 후 “치료하기”를 통해 조치를 하게 되면(알약 백신의 치료 의미는 삭제 후 검역소 보관) 정상적으로 절차를 마치게 된다. 그러나 다시 검사해 보면 재검출된다. 한마디로 처리가 안된 것이다.
[해결 Step1] 휴지통(RECYCLER) 안에 위장한 폴더로 직접 이동하여 살펴보면, 해당 개체(파일)가 그대로 남아 있음을 알 수 있다. 참고적으로 해당 개체의 단순 삭제는 거부된다.
나의 경우 폴더로 직접 이동한 결과 탐색기에서는 폴더옵션에서 [숨김파일보기] 2가지 옵션을 설정했음에도 불구하고 exe파일을 볼 수 없었다.
볼 수 없다고 확신한 이유는 해당 폴더를 알집으로 검사하면 exe파일이 바이러스에 감염되었다고 나오기 때문이다.
exe파일을 보기 위해서 그래서 NexusFile 프로그램을 설치하였다.
[해결 Step2]
알약의 “마우스 오른쪽 버튼 검사”를 통해 해당 개체를 검사해 보면 정상 검출이 된다. 그런데 “치료하기”를 선택하면, 위 2-1에서 특별한 메시지를 보여주지 않고 완료되는 것과 달리, 재부팅을 해야 한다고 안내하고 있다. 동일 개체임에도 불구하고 차이가 발생하는 이유는 이해하기 어렵다(또한 진단명 “Backdoor.Hamweq.1”도 차이가 있다). 아무튼, 전자 2-1에서의 치료하기는 문제가 있는 것 같다. 즉 치료하기를 하더라도 실제 처리에 대한 확인을 하지 않는 것으로 보인다.
그런데, 알약에서는 위의 개체(2-3에서 마우스 오른쪽 버튼 검사의 경우)에 대해 왜 재부팅을 요구하는 것일까? Unlocker 프로그램을 이용하여 isys32.exe를 확인해 보면 Explorer.EXE 프로세스가 연결된 것을 알 수 있다. 결국 알약에서는 바이러스 파일이 특정 프로세스에 들러붙어 있을 경우 제대로 처리하지 못한다고 볼 수 있다.
참고적으로 다른 백신의 경우, Explorer.EXE를 강제 종료한 후(작업이 끝나면 재시작) 바이러스를 처리하기도 한다. 아무튼 본인의 경우, Unlocker 프로그램에서 “모두풀기”를 선택한 후 isys32.exe 파일을 직접 삭제함으로써, 재부팅 필요없이 간단히 해결하였다.
나의 경우 리사이클폴더가 숨김으로 되어있어서 Unlocker로 폴더까지 접근이 어려웠다. 그래서 Ctrl+Alt+Del을 눌러 프로세스중에 explorer.exe 프로세스를 강제종료 시킨뒤 넥서스파일에서 exe파일을 삭제하였다.
NexusFile 프로그램 사용법 : http://blog.naver.com/hahaj1/20054704901
Unlocker프로그램 사용법 : http://blog.naver.com/hahaj1/20063329268
혹시 링크가 깨질것을 우려하여
위 글을 그대로 Copy한 내용입니다.
바이러스 백신 프로그램에서 바이러스를 제대로 처리하지 못하는 원인은, 크게 나눠보면 운영체제에 보안 결함이 있거나 또는 보안 제품의 성능 부족 등이라고 생각해 볼 수 있다. 또한 이미 바이러스에 감염된 컴퓨터에 백신을 설치하여 사후 해결하는 경우도 쉽지 않을 수 있다.
[현상]
알약 백신에서는 다음과 같은 개체(isys32.exe ; V.WOM.SillyFDC-CJ)가 검출되었다. 검사 완료 후 “치료하기”를 통해 조치를 하게 되면(알약 백신의 치료 의미는 삭제 후 검역소 보관) 정상적으로 절차를 마치게 된다. 그러나 다시 검사해 보면 재검출된다. 한마디로 처리가 안된 것이다.
[해결 Step1] 휴지통(RECYCLER) 안에 위장한 폴더로 직접 이동하여 살펴보면, 해당 개체(파일)가 그대로 남아 있음을 알 수 있다. 참고적으로 해당 개체의 단순 삭제는 거부된다.
나의 경우 폴더로 직접 이동한 결과 탐색기에서는 폴더옵션에서 [숨김파일보기] 2가지 옵션을 설정했음에도 불구하고 exe파일을 볼 수 없었다.
볼 수 없다고 확신한 이유는 해당 폴더를 알집으로 검사하면 exe파일이 바이러스에 감염되었다고 나오기 때문이다.
exe파일을 보기 위해서 그래서 NexusFile 프로그램을 설치하였다.
[해결 Step2]
알약의 “마우스 오른쪽 버튼 검사”를 통해 해당 개체를 검사해 보면 정상 검출이 된다. 그런데 “치료하기”를 선택하면, 위 2-1에서 특별한 메시지를 보여주지 않고 완료되는 것과 달리, 재부팅을 해야 한다고 안내하고 있다. 동일 개체임에도 불구하고 차이가 발생하는 이유는 이해하기 어렵다(또한 진단명 “Backdoor.Hamweq.1”도 차이가 있다). 아무튼, 전자 2-1에서의 치료하기는 문제가 있는 것 같다. 즉 치료하기를 하더라도 실제 처리에 대한 확인을 하지 않는 것으로 보인다.
그런데, 알약에서는 위의 개체(2-3에서 마우스 오른쪽 버튼 검사의 경우)에 대해 왜 재부팅을 요구하는 것일까? Unlocker 프로그램을 이용하여 isys32.exe를 확인해 보면 Explorer.EXE 프로세스가 연결된 것을 알 수 있다. 결국 알약에서는 바이러스 파일이 특정 프로세스에 들러붙어 있을 경우 제대로 처리하지 못한다고 볼 수 있다.
참고적으로 다른 백신의 경우, Explorer.EXE를 강제 종료한 후(작업이 끝나면 재시작) 바이러스를 처리하기도 한다. 아무튼 본인의 경우, Unlocker 프로그램에서 “모두풀기”를 선택한 후 isys32.exe 파일을 직접 삭제함으로써, 재부팅 필요없이 간단히 해결하였다.
나의 경우 리사이클폴더가 숨김으로 되어있어서 Unlocker로 폴더까지 접근이 어려웠다. 그래서 Ctrl+Alt+Del을 눌러 프로세스중에 explorer.exe 프로세스를 강제종료 시킨뒤 넥서스파일에서 exe파일을 삭제하였다.
NexusFile 프로그램 사용법 : http://blog.naver.com/hahaj1/20054704901
Unlocker프로그램 사용법 : http://blog.naver.com/hahaj1/20063329268
댓글 없음:
댓글 쓰기