그리고 작업 관리자에 calc.exe와 iexplorer.exe라는 프로세서가 등장을 하는 것이다.
노트북을 새로 장만하여 파일을 옮기려 하니,
숨겨진 파일이 있으니 폴더 옵션에서 볼 수 있게 바꾸라고 한다
그러나 파일 보기 권한은 폴더 메뉴에서는 바꾸어도 변화가 없었다
숨겨진 파일들을 복사할 수가 없게 되었다.
프로그램 소스 코드 폴더에 그런 것들이 섞여 있는 경우에 특히 난감했다.
결국 백업은 못한 상태로 새 노트북을 설치하고,
예전에 쓰던 외장 하드를 연결했다.
그런데 외장 하드 드라이브를 탐색기에서 더블 클릭한 순간 컴퓨터가 일시적으로
프리즈 되더니 작업 관리자에 calc.exe와 iexplorer.exe라는 프로세서가 등장을 하는 것이다.
외장 하드디스크에 감염되어서 자동 실행으로 동작하게 되어 있었던 것이다!
놀라서 탐색기 트리에서 드라이브를 클릭 하고 루트 드라이브를 보니
rejoice2008.exe라는 파일과 자동 실행하는 Autorun.inf 파일을 을 발견하게 되었다.
다행히 아직까지 파일 보기 권한을 바꾸는 것을 막기 전이었나보다.
재빨리 rejoice2008.exe를 모든 루트 드라이브에서 지웠다.
그러나 calc.exe, iexplorer.exe는 죽여도 죽여도 다시 살아났다.
그러나 rejoice2008.exe라는 키워드를 얻게 되어 구글 검색 해 보니
에서 이것이 백도어라는 사실을 발견했다.
V3에서 찾지도 못하는 것이 nProtect에 있네 하면서
nProtect AntiVirus 2007을 설치하여 검사했는데,
이게 걸렸으니 돈 내고 치료하시오라고 한다.
이거 자기들이 만든 것 아냐? 생각하면서 수동으로 치료하기로 결정하였다.
일단 PC를 끄고 다시 부팅하여 안전 모드로 들어갔다.
해당되는 rejoice2008.exe를 다 삭제하였고,
registry에서 해당되는 것들을 하나씩 삭제하였다.
그런데 registry를 rejoice로 검색하다 보니 LEGACY_ ...
하면서 지워지지 않는 항목이 있는 것이었다.
이 부분은 시스템 드라이버들이 있는 곳인데
이 악성 코드가 시스템 드라이버 형식으로 침투해 들어갔다는 것을 알 수 있었다.
이 부분은 해당 LEGACY_ 트리에서 권한 설정을 모든 권한으로 하니 삭제가 되었다.
전에도 이런 짓을 했던 기억이 있는데...
XP는 잘 걸렸으나, Vista나 Windows7은 걸리지 않았다.
확실히 XP에는 보안이 훨씬 취약하다.
서비스팩도 잘 깔아 두었는데도...