KMSpico 에 심어진 악성코드? 바이러스? 때려잡기
|
1. 사건의 시작:구글신의 오작동 |
인터넷이 페이지가 뭔가 속도가 굉장히 느리고 특히 구글 검색결과가 평소랑 다르게 나올 때..
그냥 저는 구글에서
[무한도전 E420 토렌트]를 검색했는데 평소와 너무 다르게 나오길래 뭔가 문제가 있는 줄 알았습니다. 분명히 그 전엔 안 그랬는데..
문제가 있음을 확인하고 이것저것 확인을 해보던 중 윈도우 리소스 모니터 [시작 - 실행 - "resmon"] 에서 상태를 살펴보면…
이미 해결 후라 해당 스샷은 없지만...
인터넷 창을 여러 개 열고 resmon의 TCP연결이나 수신대기포트를 확인하면 isupdate.exe 이라는 프로세스가 포트 8080으로 연결을 여는 것을 볼 수 있습니다.
보통의 인터넷 연결은 80,443 포트를 사용 하는데 isupdate.exe 라는 프로세스가 이를 8080포트로 가로채서 연결하는 것이라 생각됩니다.
Isupdate.exe는 프로세스 정보를 통해서 열어보면
C:\Program Files (x86)\installshield\isupdate.exe
에 서식하고 있는 것을 확인.
저와 같은 고통을 벌써 받으신 분들이 있네요
두 분다 최근 글인걸 봐서는 최근 이슈인가 보죠…
관련 증상 블로그
http://pdamail.blog.me/220393701510
http://blog.naver.com/rabbitthief/220357729984
|
2. 초기진압단계:치료법 발견 |
저는 무식하니까 일단 무턱대고 InstallShield 폴더를
삭.제.
그러고 인터넷 익스플로어를 실행하면 아래와 같은 인터넷 창이 보이게 되면서 인터넷에 영영 접속할 수 없게 됩니다.
하지만 친절한 익스플로어가 도구-인터넷 옵션-연결 로 이동해서 LAN 설정을 보라고 알려줬으니 MS가 시키는 대로 절차를 따라가봅니다.
앗 그전에 "연결 문제 진단"이 있군요!
MS를 믿고 기다려 봅니다…..
오. 문제 해결을 완료했다고 하네요.
역시.. 자가치료는 한계가 있네요…
그냥… 다시 시키는 대로… 아래 절차나 따라가 봅니다…
도구 > 인터넷 옵션 > 연결로 이동하고 LAN 연결인 경우 "LAN 설정"을 클릭하세요.
마우스로 실행하셔도 되고 인터넷 옵션 창만 여시면 됩니다. [시작 - 실행 - inetcpl.cpl]
벌써 뭔가 평소와 다른 글씨가 보이게 됩니다.
! 일부 설정은 시스템 관리자가 관리합니다.
응?? 내가 관리잔데???
일단 침착하게 MS가 시키는 대로 인터넷 옵션까지 들어갑니다.
역시 프록시를 사용하는 것으로 되어 있네요. MS가 가르쳐 준 것은 여기까지 입니다. 저 체크만 풀고 나가면 인터넷과 연결이 되지만 찜찜한 PC를 마저 치료하기 위해서는 좀 더 파고들어 보죠.
|
3. 적극진압단계:치료를 넘어 힐링까지 |
고급 옵션으로 들어가면 아래 이미지 처럼
역시. 아까 봤던..
뭔가가 내 컴퓨터를 이 꼴로 만든겁니다. 익스플로어에서 로컬에 있는 Isupdate.exe 라는 프로그램(프록시)를 통해 인터넷 트래픽을 감시하고 페이지 결과를 바꾸는 거죠…
인터넷 이용 중 갑자기 다른 지역으로 연결(구글 검색을 했는데 다른 국가 결과가 나온다거나) 되는 경우도 이런 바이러스인지 악성코드인지… 를 의심해 볼 수 있겠네요.
아무튼 위의 내용은 끝났지만 아직 문제가 남아있죠
내가 관리자니. 이 설정에 대한 관리자 권한을 돌려받아야 겠네요.
이제 구글신의 검색 결과가 제대로 보이니 구글신과 협공을 시작합니다.
MS 에서 비슷한 사례로 아래와 같은 내용이 있음 윈도우 업데이트에 대해 위 메시지가 뜨는 경우가 있는데 두 가지 경우가 있네요.
다음 경우에 맞는 방법을 확인 하여 점검이 가능 합니다.
- 경우 1: Windows Update 관련 그룹 정책을 설정한 경우
- 경우 2: Windows Update 설정에 관한 권한 오류인 경우
그래서 위에서 어쩌구 저쩌구 해서 MS의 레지스트리 관련 정보 사이트네요.
https://support.microsoft.com/ko-kr/kb/2572339/ko#A
하지만 위의 경우는 단지 Windows Update에 관련된 이야기 이고 우리 상황에 맞게 해결해야겠죠.
일단 위의 그룹 정책은 다 뒤져봤으나… 없습니다.
그래서 남은 건 레지스트리.
뒤져보니 아래와 같은 내용이 있네요
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings]
위의 경로대로 찾아가 보시면 위와 같이 ProxySettingsPerUser 라는 값이 보입니다.
동일한 증상이라면 그냥 찾아가셔도 되지만 레지스트리 편집기에서 Ctrl + F 하셔서 찾기에서 ProxySettingsPerUser 만 입력하셔도 됩니다.
아무튼 이게 뭔지 곰곰히 생각을 해 보지만 이번 사태와 관련이 있는 것은 확실하니까...
빡쳐서 Internet Settings 자체를 지워버림
짠!
자 드디어 컴퓨터가 치료를 넘어서 힐링 되었습니다.
여기서 한번 결과를 정리하면…
- 인터넷 느림 / 구글 검색결과가 평소와 다름
- 리소스 모니터(시작-실행-resmon)를 열어 네트워크 탭에서 포트 8080 확인
- "c:\Program Files (x86)\InstallShield 삭제
- 인터넷 옵션에서 프록시 설정 해제
- [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings] 레지스트리 삭제
-
해결
|
4. 역학조사:병의 근원지를 찾아서 |
하지만…….. 요즘 메르스 역학 조사가 유행인 만큼 저도 과연 원인이 무엇인가 밝혀보도록 하겠습니다.
우리가 가진 정보를 키워드로 좀 풀어보면…
InstallShield
Isupdate.exe
127.0.0.1:8080
이정도…가 되겠네요. 구글이나 네이버는 찾아봐야 비슷비슷한 자료나 낚시 자료가 많이 나올테니 이 바이러스가 걸린 숙주 컴퓨터를 뒤져보죠.
이벤트 뷰어를 열어 볼까요 [시작 - 실행 - eventvwr.msc]
Windows 로그에서 아래와 같이 날짜 및 시간으로 정렬을 적용합니다. 그냥 날짜 및 시간 클릭만 하시면 됩니다.
그리고 과거가 제일 위로 올라 오게 하신 뒤 Ctrl + F 로 Installsheid를 검색합니다.
그리고…. 이놈!
드디어 잡았네요.
6월 1일 7시 46분… 과연 그 때 무슨 프로그램을 깐 걸까요.
그 때로 돌아가 보도록 하겠습니다.
안정성 기록 보기를 클릭하시고 해당 과거로 날짜를 찾아보면 아래와 같이…
ㅋㅋㅋㅋㅋㅋ KMSPico 이놈
"KMSpico+10.0.5b++Windows+&+Office+KMS+Activator"
해당 버전 사용하신 분들은 당장 위와 같이 해결 하시길 바랍니다.
정품 소프트웨어를 사서 씁시다…
이게 어느 버전부터 저 프록시가 들어있는지는 잘 모르겠네요..
최신 버전이나 해당 버전을 다른곳에서 다시 받아서 또 테스트를 해 보고 결과를 올리겠습니다.
TKMuse 께서 알려주신 부분입니다.
서비스에서도 삭제를 해주시는게 좋습니다.
서비스 - InstallShield Application Updater - 사용안함
다른 서비스처럼 그냥 삭제가 안되네요. 알아내서 바로 올려드리겠습니다.
|
5. 상황 종료 |
마지막으로 결과를 다시 한번 여기서 한번 결과를 정리하면…
- [문제1] 인터넷 느림 / 구글 검색결과가 평소와 다름
- [문제2] 리소스 모니터(시작-실행-resmon)를 열어 네트워크 탭에서 포트 8080 확인
- [해결1] "c:\Program Files (x86)\InstallShield 삭제
- [해결2] 인터넷 옵션에서 프록시 설정 체크 해제
- [해결3] [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings] 레지스트리(폴더) 삭제
- [원인1] KMSPico (아마 10.0.5b 버전)
- [교훈1] 정품 소프트웨어를 사서 씁시다.
KMSpico는 워낙 유명한 Office 인증 툴이라.. 제 버전만 그런지 다른 버전도 그런지 확인해 봐야겠네요.