채팅으로 인한 컴퓨터 해킹에 대해 질문드립니다.

원문 : http://blog.daum.net//2906216
작성자 : 진샘나미

<간략...전문>

세달전에 다음카페 채팅에서 채팅을 하고 있었습니다.

근데 어떤분하고 약간의 시비가 붙었었는데요.

아무튼 시비가 있은 후 저는 그 카페 채팅창을 열어둔채로 다른카페 게시물을 둘러보고
있었죠(창을 여러개 띄워서요)

시 간이 좀 지나고 채팅창에 대화들을 보니깐 나중에 그 채팅방에 들어온 사람들이 저와
시비가 붙었던 사람에게 지금 뭐하냐고묻더군요. 그러니깐 그사람은 바이러스검사를 하고 있다고 말했구요. 참고로 그방은 게임할사람을 모을려고 만든방이였는데뜬금없죠,,바이러스검사라니 제가 보기엔 이때 제 IP주소랑 보낼 바이러스같은걸 보낼준비를 하고 있던걸로
생각되요. 다른사람들모두 뜬금없이 왠 바이러스검사냐며 이런반응을 보이고 있던 찰나에 그 시비가 붙었던 사람이 "이제 다끝났다" 이말을 한순간 제가 띄운 채팅창하고 밑에
띄워놓은 인터넷 창 4개가 동시에 꺼지더군요. 그때 당시 제가 V3 2002 DELUXE를
쓰고 있었는데요 순간 실시간감시에서 무언가를 잡아내더라구요

보니깐 그건 oksound.dll을 잡아냈다고 뜨더라구요 검색해보니깐 게임 메이플스토리
트로이목마바이러스였어요 비번하고 아이디를 특정한 메일로 보내는...

그래서 그걸 치료 후 전체스캔을 했습니다 그랬더니 뭔가가 2개 정도 더 뜨더라구요.
트로이목마바이러스도 있었어요.. 그리고 또 불안해서 지식인 검색에서 찾은 트로이목마
전용백신프로그램을 다운받아서 검사하니 하나가 더뜨더군요

이하 생략.....<질문내 포함된 내역은 생략>

질문1) 위에잡힌것들이 어떤바이러스 인지 좀 알려주세요..컴퓨터에 어떤영향을
끼치는지..

저는 카페에서 그일이 있은후 진짜 컴퓨터로 한일이라곤 바이러스검사와 다음사이트 로그인뿐..어떤프로그램이나 파일도 다운받은적이없었습니다. 순간 정말 놀라서 AS기사분을 불렀습니다

AS기사분은 카스퍼스키라는 백신프로그램도 전혀 모르시더라구요 이런걸 쓰는사람은 처음봤다면서;;

아무튼 그리고 포맷을 했는데요 윈도우를 다시깔때 랜선은 뽑고 했구요 다한후에
백신프로그램이 안깔려있는상태에서 기사분이 랜선을 연결하시고 안철수랩에 있는 인터넷창띄우고 하는 바이러스 무료검사 한번해주시고 갔거든요;;

물론저는 V3가 이젠 도저히 믿음이 안가서 카스퍼스키 평가판 30일치를 다시
다운받았구요.

제 가 카스퍼스키로 트로이목마들을 발견하기 전에 로그인하기전에 항상 실행-cmd-netstat -na 이걸 항상 쳐보고포트번호같은것도 꼼꼼히 확인한후에 로그인하고 그랬거든요?(제깐에는 이게 잘하는짓인줄 알고 했다만..포트 80만 뜨는지확인했었습니다.)

질문1)에 대한 답변

V3 2002 DELUXE<안티바이러스 제품> 이면 현제 단종된 제품인데.
2004버전<안티바이러스 제품>도 단종되었습니다.
또한  안티바이러스 제품으로  스파이웨어 / 애드웨어를 모두 막을 수 없습니다..
그 것은 아셔야 합니다.
안티바이러스 제품은 일반적으로 애드웨어를 진단하지 않습니다.
또한 전문 안티스파이웨어 제품에서 진단하는 것을 진단하지 못 할 수 있습니다.

<추가정보><아래 정보 말고도 다양...>

- 안티바이러스 제품으로 애드웨어 / 스파이웨어를 다 막을 수 없습니다.
안티스파이웨어 제품을 추가적으로 사용하셔야 합니다.
또는 통합제품을 사용하십시오 .

- V3 2007 플래티넘<안티바이러스 + 안티스파이웨어 + 방화벽>
- 네이버 무료백신 / 메가닥터 / 등도 통합제품을 내놓고 있습니다.
- 해외제품류엔 카스퍼스키의 KIS <통합 제품>
- 노드32  의 ESS <통합제품>

<참고사항>


 이외에 진단되는 부분도 있을 수 있습니다.. 단지 상기 진단명만으로만 검색한 것이므로  진단여부는 알수 없으며, 유사 정보만이 제공가능합니다.

트로이목마 Trojan-Dropper.Win32.Diginame.b  
--> 애드웨어 : 디지네임즈 라는 도메인검색 관련
애드웨어 not-a-virus:Adware.Win32.DigitalNames.d 
--> 애드웨어 : 디지탈 네임즈 검색툴바

트로이목마 Backdoor.Win32.Blarul.a  
-->참고링크 : http://kr.ahnlab.com/info/smart2u/virus_detail_1394.html

애드웨어 not-a-virus:Adware.Win32.WebHancer.320
--> 애드웨어 :  개인 서핑기록 수집기
--> 참고내용 :http://blog.paran.com/mbnzeg/21872751
--> V3 가 아닌 안티스파이웨어 제품인  스파이제로 2.0 
: Win-Adware/WebHancer

트로이목마 Backdoor.Win32.Agent.air 
--> 관련정보 링크 :
http://kr.ahnlab.com/info/smart2u/virus_detail_6890.html
http://gendoh.tistory.com/2510893

트로이목마 Trojan.Win32.Qhost   --> HOST 파일 위변조  : 특정 사이트 접속을 못하게 하거나 유도

--> 답만 원하지 마시고  HOST 가 무엇인지는  검색으로 찾아 보세여..

애드웨어 not-a-virus:Adware.Win32.DigitalNames.g  
--> 애드웨어 : 디지탈 네임즈 검색툴바

디지탈 네임즈 툴바 부분은 해당업체마다 진단여부가 다를 수 있습니다..
인터넷 창에 디지탈 네임즈 입력후 검색해보면 어딘지 알수 있습니다... 국내  주소줄 검색서비스를 제공하는 회사에서 제공하는 프로그램 일부

--> 디지탈네임즈에서 제공중인 일부 프로그램들은 아래와 같이 진단됩니다.
그러나 상기 올려준 자료만을 가지고 자료를 찾고 답변하는 것이기 때문에..
진단 된 것과 동일하다는 확증은 없습니다.
 이유는 디지탈 네임즈는 프로그램명이 디지탈 네임즈라고 되있지 않기 때문에 
진단명은 상이 할 수 있습니다.

1> Ahnlab SpyZero 2.0 / V3 Internet Security Platinum / 빛자루의 안티스파이웨어 / 진단 ---> Win-Adware/IEURLHook.109056

2> 하우리 바이로봇 5. 진단
---> Adware.IEURLHook
진단명만 공개하셔서 제대로 알수는 없지만 ..
대부분 애드웨어 이고 국내제품군에선 안티바이러스 제품이 아닌
안티스파이웨어 제품에서 진단하는 부류로 보입니다..

-----------------------------------------------------------

이 진단 로그로는 전문가도 모를 수 있습니다.. 진단된 파일을
정확히 확인하기전까지는요

그리고 해당 진단명으로  진단한 업체에 문의하시는게 정확할 듯 합니다..

위에 언급했듯이...  몇개는 백도어 일수 있지만  대다수   안티스파이웨어 제품에서 진단하는 부류로 보인다는 것뿐 그 이상은 뭐 느낄 수 없는 듯합니다.

안티스파이웨어 제품 : V3 2002 같은 안티바이러스 제품과는
다른용도의 제품입니다.

애드웨어의 경우 해당 제품으로 진단되었지만 삭제하시지 마시고
전문 애드웨어 제거 프로그램 또는  안티스파이웨어 제품으로 제거하시길
권장합니다.

해당진단으론 일부 모듈만 삭제된 것이지 완전히 삭제된 것이 아니므로
오히려 오작동이 발생할 수 있습니다..

=================================================================================

질문2) 위에있는 백도어를 그사람이 사용중이였다면 80말고 다른 포트가
뜨는건가요?

백도어랑 트로이목마 발견전에 막 사이트가입하느라 제 주민번호같은것도 쓰고 그래서 굉장히 불안합니다.ㅜㅜ
어 쩌다가 마우스가 그냥 혼자 저절로 엄청느리게 스스슥 움직이기만해도 불안해서 바이러스 전체검사 합니다..예전엔 광마우스니깐그럴수도있지하고 넘겼던일인데
정말 하루하루 사는게 인간사는것같지않아요 물론 제가 강박증같은게 있어서
더 심한거겠지만요.

  PS.AS 기사분께 저 바이러스 랑 백도어 보여드리니깐 저런건 전문가도
모르신다고 하면서 그냥 제말은 무시하시던데,,, 트로이목마랑백도어 깔린거면
제가 컴퓨터에서 뭘하는지, 또 키보드로 어떤내용을 누르는지도 다 알수 있지
않나요?? 일단 가입한 모든사이트에비번은 바꾸긴했지만 아무래도 백도어랑
트로이 발견하기전 제 주민번호를 쓴일이 너무 마음에 걸립니다..

질문2)에 대한 답변


카스퍼스키 제품이 진단한 로그가 있다면 보여줄 수 있으신지여... 확인이 필요할 듯 합니다.
위에 진단명만으론 그 분이 한 것인지 정확히 알 수 없습니다.

==================================================================================
질문3) 백도어가 제가 컴퓨터로 뭘하는지 키보드로 무슨내용을 치는지 (아이디나 비밀번호) 같은것도 그사람에게 보내주는 기능까지 하는건가요?

질문3)에 대한 답변

백도어 자체는 목적에 따라 달라질 수 있습니다...
특정시스템을 접근 또는 접근을 시도하기위한 통로를 만드는 프로그램

--> 목적에 따라 다양합니다..
특정 검색툴바류에서도 백도어라는 진단명이 나오기도 합니다.. 이유는 위에 언급된 것이라 보시면 됩니다만..

관련정보 : http://blog.daum.net/ck100/12233629
=======================================================================

 질문4) 사전방역기능에서요 사전방역, 프로그램활동분석기, 오피스실시간감시만 실행시켰거든요. 프로그램활동분석기에서의 설정부분은 모두 체크를 해두었구요. 이렇게만해두어도 보안에 상관없는지궁금합니다..

 안티해커에서 설정 부분에서 구역 을 보면 제아이피 / 인터넷 이렇게 된 부분은 스텔스모드가 체크되있거든요. 근데 그밑에인터넷 / 인터넷 이렇게 된 부분은
스텔스모드에 체크가 안되있는데 체크해야되는건가요? 스텔스모드가 도대체
뭔가요 ㅜㅜ?,,

질문4)에 대한 답변

 - 모두 체크하시면 모든 프로그램의 활동을 통제 할수 있지만 권장하지는 않습니다.
모두 적용후 문제가 없으시면 해당설정을 유지하시고 문제 발생시
카스퍼스키 홈 최적화 설정을 참고하세여

참고링크 : http://www.kasperskylab.co.kr/lite_setting.html

- 스텔스모드 를 자세히 설명하면 어렵고, 간단히 설명하면... 컴에 접근을 시도하기위해선 컴에 열러진 포트를 사용해야 하는데 포트를 외부에서 보지 못하도록 숨겨주는 기능입니.
 단, 일부 서비스에서 오류를 유발 할수 있습니다..
이유는 포트를 숨기기 때문에 일부서비스중 접근점을 찾지 못해 오류가 수반되기도 합니다.   그러나 일반적으론 문제는 없습니다.  적용하셔도 됩니다.

===================================================================================

질문5) 그사람이 컴퓨터에 굉장히 능통한 사람이여서 더 불안하거든요
유동아이피라곤 해도 제컴퓨터 아이피가 바뀌는 수시로바뀌는 기간이 랜덤이라..
아이피를 알 경우에 다시 컴퓨터에 바이러스라던가를 보낼 수 있나요? 백도어 라든지요.. 한달마다포맷을 하긴 하지만 이것때문에 너무 불안해요.. 가끔씩 아주 가-끔 139 포트로 lsass 이니셜이 맞는지 모르겠는데..이런게 공격해와서 차단한적이
좀 있어요 이런건 그냥 목표를 정하지 않고 막 퍼지는 바이러슨가요?

질문5)에 대한 답변

LSASS는 MS 윈도우에서 사용하는 것으로 우리말로 표현하면 로컬보안관리 서브시스템 서비스 (Local Security Authority Subsystem Service)

해당포트 접근은 웜바이러스일 가망성이 높습니다..
해당 포트 접근에 의한 감염은 아래와 같은 방법으로 예방 및 차단이 가능합니다.

1> 윈도우 보안패치를 최신으로 유지 하십시오 . LSASS 관련 보안취약점에 의해 전파되는 웜바이러스로 추정됩니다.

2> 취약점 포트를 닫아주는 방법으로도 차단이 가능

3> 국내외 통합보안제품 중 방화벽이 포함된 제품류에서 방어가 가능합니다.

--> KIS / V3 2007 플래티넘 / 등에서도 차단 가능합니다..