Malicious Code Dectecting and Removing

악성코드는 사용자가 원하지 않는 작업을 실행하도록 하는 코드로 주로 system32 폴 windows폴더에 주로 존재하고, 때로는 Temp폴더에 우위치하기도 한다. 휴지통이나 USB에서도 악성코드는 발견될 수 있다.

전용백신으로 탐지가 되지 않는 악성코드는 다음의 방법으로 참지가 가능하다.

1. Ipconfig /displaydns로 DNS 캐쉬 정보 수집

커맨드창에서  Ipconfig /displaydns를 입력하게 되면 주로 사용하는 DNS 서버의 정보 중 이미 캐쉬된 정보들이 나오게 된다. 이 중 원하지 않는 DNS서버가 있다면 악성코드에 감염된 것을 의심할 수 있다.  아래 화면을 보면 악성코드는 아니나, 컴퓨터에 Estsoft의  altools 등이 설치되어 있는 것을 볼 수 있다.

[사진1. ipconfig /displaydns 실행화면l

2. systeminfo를 점검하는 방법

systeminfo에는 윈도우의 버전, 윈도우가 설치된 날자, 설치된 hotfix의 내용을 살펴볼 수 있다. 이 정보에 오류가 있다면 악성코드에 감연된 것을 의심할 수 있다.

3. Netstat -nao를 이용하는 방법

위 명령어를 이용하면 네크웍 연결상태를 알 수 있다.  나타난 IP들이 정상적인 접속 서버의 IP인지 확인이 가능하다.

악성코드가 있다면 SYN_SENT의 명령어로 어떠한 정보를 상대방에게 보내게 된다. SYN_SENT는 정상적인 경우, 윈도우 업데이트, 백신업데이트. 파일공유 프로그램 등에서 사용된다.

해당 IP 주수는 www.geobytes.com에서 검색해보면 소재지를 알 수 있다. 현재 www.threatexpert.com에 나타난 위험국가는 중국, 러시아, 브라질의 순이다. 해당 IP주소가 이를 국가를 경유하고 있다면 악성코드의 침입을 의심할 수 있다. 여기서 127.0.0.1는 자신의 컴퓨터이다.

[사진 2. Netstat -nao 실행화면]