이전 시간에는 Hijack Hunter 프로그램을 이용하여 사용자 시스템에 존재하는 다양한 파일, 레지스트리, 네트워크 정보를 수집하고 수집된 정보가 포함된 로그(Log) 파일을 통해 시스템 감염 여부를 확인하는 방법을 살펴보았습니다.
이번 시간에는 악성 파일 감염으로 인해 정상적인 시스템의 일부 설정이 변경되어 컴퓨터 사용을 방해하거나 치료를 방해하는 동작이 발생할 경우, 해당 프로그램에서 제공하는 특정 복원 기능을 통해 문제를 해결할 수 있는 방법에 대해 알아보겠습니다.
1. Restorer
복원 기능은 악성 파일이 치료를 방해할 목적으로 Windows의 기본 기능을 사용할 수 없도록 하였을 경우 해당 기능을 이용하여 기본값으로 복원을 할 수 있도록 하는 기능을 의미합니다.
■ System Hijacks
해당 항목에서는 레지스트리 편집기(regedit), 작업 관리자, CMD, 폴더 옵션 등 Windows 시스템의 일부 기능을 무력화하여 자신을 제거하지 못하도록 방해하는 경우 사용할 수 없는 항목을 복원할 수 있습니다.
■ Other Hijacks
예를 들어 특정 악성코드에 감염된 시스템에서 Windows에서 제공하는 시스템 복원 기능을 이용하여 이전 시점으로 되돌리려고 할 경우 시스템 복원 기능을 이용하지 못하도록 비활성화(Disable DisableSR)한 경우 해당 복원 기능을 이용하여 정상적으로 이용할 수 있도록 변경하실 수 있습니다.
특히 최근의 경우 해외 가짜 백신(Fake AV) 감염으로 인해 바탕화면 변경, 레지스트리 변경 등으로 단순히 악성 파일만 제거하는 것으로 문제가 해결되지 않는 경우가 있으므로 이런 복원 기능은 유용할 수 있습니다.
■ Startup Hijacks
해당 항목은 시스템 시작과 관련된 특정 레지스트리 관련 항목으로 악성코드로 인해 exe 파일을 실행하였을 경우 자동으로 특정 악성 프로그램이 실행되거나 하는 경우 문제를 해결할 수 있습니다.
■ Safe Mode
해당 항목은 악성코드 감염으로 인해 안전 모드 접근이 차단되었을 경우 사용자 OS에 따라 복원할 수 있도록 레지스트리를 수정하는 기능입니다.
■ IE Urls
해당 항목은 악성코드 감염으로 Internet Explorer의 시작 페이지, 검색 페이지 등이 변경되었을 경우 사용자가 원하는 정보로 수정을 할 수 있습니다.
■ IE Hijacks
해당 항목은 기타 Internet Explorer에서 제공하는 기본 설정값이 변경된 경우 복원하실 수 있습니다.
2. 시스템 정보 보기
■ Startups
해당 항목은 시작 프로그램에 등록된 프로그램 정보를 확인하여 시스템 시작과 함께 동작하는 프로그램 정보를 확인하실 수 있습니다.
■ Boot Files
해당 항목에는 시스템에서 사용하는 System.ini / Win.ini / Autoexec.bat / Boot.ini 파일 내부 정보를 확인하고 수정할 수 있도록 구성되어 있습니다.
해당 파일은 시스템 시작과 밀접한 관련이 있으므로 사용자가 함부로 정보를 수정할 경우 컴퓨터 부팅에 문제가 발생할 수 있으므로 주의하시기 바랍니다.
■ Host File
해당 항목은 [C:\WINDOWS\system32\drivers\etc\hosts] 파일로 악성코드로 인해 변조되거나 사용자의 필요에 의해 특정 정보를 추가할 수 있도록 구성되어 있습니다.
■ BHOs
해당 항목은 BHO(Browser Helper Object) 항목에 등록된 파일 정보를 통해 Internet Explorer에서 동작하는 외부 프로그램을 확인할 수 있습니다.
3. Delete File
해당 프로그램은 부가적으로 사용자가 선택한 특정 파일에 대하여 보안 삭제 방식(덮어쓰기 방식)으로 복원 불가능하게 파일을 삭제할 수 있는 기능을 제공하고 있습니다.
Hijack Hunter 프로그램은 단순히 사용자 컴퓨터에 존재하는 악성 프로그램만을 찾는 기능에서 벗어나 감염으로 인한 시스템 설정 변경 문제를 해결할 수 있는 복원 기능을 제공한다는 점에서 활용 가치가 높다고 볼 수 있습니다.