본문 바로가기

벌새::Security

Windows Sysinternals Autoruns 이용한 수상한 서비스 등록값을 찾는 방법

사용자 PC가 부팅을 시작하면서 Windows 바탕화면이 생성되는 과정 중 자동으로 실행되도록 구현하기 위하여 악성 프로그램은 다양한 방식으로 등록을 합니다.

우리가 일반적으로 알고 있는 시작 프로그램에 등록하는 방법 이외에 많이 사용되는 방법 중의 하나가 서비스(Services) 항목에 등록하여 시스템 시작시 자동 실행되도록 구현할 수 있습니다.

마이크로소프트(Microsoft)사에서 무료로 제공하는 Windows Sysinternals Autoruns 도구를 이용하여 초보자들이 악의적으로 등록된 서비스 항목을 찾는 방법에 대해 간단하게 알아보도록 하겠습니다.
Autoruns 프로그램을 실행하면 자동으로 프로그램에 등록된 각 항목에 대해 검사를 하며, 이번에 살펴볼 서비스(Services) 항목에 등록된 값은 [Services] 탭을 클릭하여 보실 수 있습니다.

기본적으로 해당 서비스 항목에는 Windows에서 기본값으로 제공되는 다수의 등록값이 포함되어 있으며, 사용자는 이들 중에서 악성 프로그램이 등록한 서비스 값을 찾기 위해 다음과 같은 설정을 변경할 수 있습니다.
Autoruns 프로그램의 메뉴 중 [Options - Hide Microsoft and Windows Entries] 항목을 체크한 후, Refresh(②번) 버튼을 클릭하여 마이크로소프트와 Windows에서 등록한 값을 제외 처리를 하도록 합니다.

해당 설정 변경을 통하여 Windows 기본값 이외에 악성 프로그램이 설치한 악성 서비스 등록값 또는 다른 프로그램이 설치한 정상적인 서비스 등록값을 보실 수 있습니다.
설정값 변경으로 제시되는 서비스 등록값을 살펴보면 일부 등록값(예, rpcapd)은 정상적인 프로그램 설치로 인해 등록된 것이지만, 나머지 등록값을 게시자(Publisher)가 없거나 Windows 기본 서비스 등록값이 아니므로 검증이 필요해 보입니다.

예를 들어, apocalyps 서비스 항목에 대해 악성 여부를 확인하기 위해서는 해당 서비스 항목의 등록 파일(Image Path)에 제시된 [C:\WINDOWS\system32\apocalyps.dll] 파일을 바이러스토탈(VirusTotal) 인터넷 서비스에 파일을 업로드하여 국내외 보안 제품에서의 진단 결과를 확인하는 것이 가장 빠릅니다.
실제 검사 결과를 확인해보면 15/42개 제품의 비율로 해당 파일을 악성 파일로 진단하는 것을 통해 해당 apocalyps 서비스 등록값은 악성 프로그램에 의해 등록된 것임을 추정할 수 있습니다.

이런 악성 서비스를 제거하기 위해서는 기본적으로 보안 제품을 통한 정밀 검사를 통해 문제를 해결할 수 있으며, 수동으로 제거하는 방법은 기본적인 다음과 같습니다.

예시에서는 apocalyps 서비스를 제거하는 방법을 통해 살펴보도록 하겠습니다.

1. 서비스 동작 중지하기
 
[시작 - 실행 - services.msc] 명령어를 이용하여 제어판의 서비스 창을 실행하여 apocalyps 서비스 항목을 찾아 더블클릭을 합니다.
apocalyps 서비스 항목의 속성값 중 서비스 상태의 [중지] 버튼을 클릭하여 현재 동작하는 서비스를 중지시킵니다.

2. 파일 및 레지스트리 삭제
 
 
이제 apocalyps 서비스를 동작시키는 파일(C:\WINDOWS\system32\apocalyps.dll)과 레지스트리 값을 찾아 수동으로 삭제를 하시면 됩니다.
서비스 항목의 상위 레지스트리 값 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services] 중에서 서비스 이름 apocalyps를 근거로 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\apocalyps] 값을 찾아 삭제를 하시면 됩니다.

국내외에서 제작된 악성 프로그램 중에는 서비스로 등록한 후 svchost.exe 프로세스를 이용한 메모리 상주 또는 부팅 과정에서만 동작 중 중지하는 방식으로 실행하여 사용자 몰래 정보 유출, 추가적인 다운로드 등의 악의적인 동작을 할 수 있으므로 서비스 등록값을 점검하실 때 참고하시기 바랍니다.

 

  • 언제 한번 정리할려고하는데 어떤 프로그램을 써야할지 몰랐는데 이렇게 포스팅으로 자세히 써주셨네요!
    좋은정보감사합니다.^^

  • 허밋 2011.02.18 13:01 댓글주소 수정/삭제 댓글쓰기

    매일 벌새님 포스팅글을 구글 rss로 받아서 보고 있습니다
    아쉬운점이 있다면 프로그램을 깔끔하고 자세하게 분해하셔서 분석까지는 잘해주시는데, 실질적으로 일반 사용자들이 한다고 하면 아주 어렵습니다.. ㅠ
    이런식으로 분석법에 대해서도 알려주시면 더욱 유익할거 같습니다
    앞으로도 좋은 내용 기대할께요 ^^

    • RSS를 통해 구독해 주시는 분들에게는 늘 감사하게 생각합니다.^^

      앞으로는 이런 내용들도 추가를 하도록 노력하겠습니다.

      감사합니다.

  • 지나가는 이 2011.11.24 00:32 댓글주소 수정/삭제 댓글쓰기

    감사합니다!
    매우 유용하네요^^

  • 2011.12.23 18:07 댓글주소 수정/삭제 댓글쓰기

    진짜 감사요. 하루종일 고생했는데 재부팅해도 자꾸 바이러스 검색되었는데

  • ㅠㅠ 2012.03.22 20:50 댓글주소 수정/삭제 댓글쓰기

    안녕하세요.
    포스팅글들 잘 보고 있습니다.
    얼마전에 네이버에서 프로그램 하나 잘못깔았다가
    완전 고생중입니다. 11번가, 영화사이트 같은 아이콘도 깔리고
    파일함탐색기, 보안캐치 등등 .. 골치아프더라구요.
    하나하나 천천히 따라하면서 삭제하고 있는데,
    한 몇일은 조용히 있다가 다시 자동으로 프로그램들이 깔려요.
    벌써 2번째네요. 깔릴때마다 프로그램 구성도 조금씩 바뀌고...
    뭔가 근본적인 원인을 제거해야 될텐데 힘드네요.
    위 방법도 써봤는데 수상한건 안보이고.
    좀 도와주실 수 있으신가요?

    • 원격이 아니라면 글로는 해결이 어려워 보입니다.

      개인적으로 원격으로 봐 드리지는 않고 있으며, 무료 원격을 받으시고 싶으시면 보호나라(국번없이 118번)에 신청하여 점검을 받아보시기 바랍니다.

      또는 보안 카페(http://cafe.naver.com/malzero)에서 도움을 요청하시면 원격을 해주시는 분들이 계십니다.^^