[김재곤의 컴퓨터 월드] 웜의 진단과 치료, 작업관리자창에서 CPU 100%면 일단 의심
가장 일반적인 감염여부에 대한 확인 방법은 백신으로 시스템 검사를 통해서 확인해 볼 수 있지만 백신이라는 것이 완벽하게 웜에 대해서 모든 것을 방어해주지 못한다는 사실은 지난 시간에 누누히 언급을 했었던 부분이라 이제 '이라이프' 독자라면 누구나 알 수 있는 사실이다.
아울러 새롭게 나오는 신종 웜에 대해서는 백신이 엔진 업데이트 하기 전까지는 완전히 무방비한 피해 상태가 유지되기 때문에 완벽한 진단 치료 엔진이 나오기 전까지는 스스로 어느 정도 응급처치 방법을 통해 중요한 데이터가 존재하는 시스템을 보호해야 할 것이다.
가장 쉽게 해볼 수 있는 작업이 윈도 화면의 왼쪽 맨 밑부분에 있는 트레이 아이콘이 있는 부분 즉 날짜가 표시되는 부분에 마우스를 놓고 오른쪽 버튼을 눌러 작업관리자창을 띄워서 확인해 보는 방법이 있다.
일단 의심이 되면 성능탭 옆에 있는 프로세스탭을 선택하면 현재 실행되고 있는 프로세스 목록을 볼 수 있는데 목록 중에서 못보던 프로세스가 실행되고 있다면 그것이 웜일 가능성이 높은 것이다.
또 다른 확인방법에 대해서 알아보자.
윈도 화면에서 시작-> 실행을 선택한다. 나타나는 실행창에 "CMD"라고 치고 확인 버튼을 누르면 도스 프롬프트 창이 나타난다.
여기서 "netstat -na" 라고 입력하고 엔터키를 누르면 사진과 같은 화면이 나타난다.
Netstat란 명령어는 현재 온라인상태에서 자신의 컴퓨터에 연결된 컴퓨터를 볼수있는 명령어로 화면에서 보면 Local Address밑에 보이는 숫자는 자신의 IP와 포트를 보여주는 것이고 Foreign Address는 내 컴퓨터에 접속된 상대방 컴퓨터의 아이피와 포트번호를 보여주는 부분이다.
State는 몇 개의 값을 갖고 있는데 LISTENING은 현재 열려있는 포트를 말해주는 것이다. ESTABLISHED는 현재 연결돼 사용중이라는 것이고 TIME_WAIT는 사용이 끝난 상태임을 표시해준다.
웜의 일반적인 특징중에 하나가 특정포트를 통해 트랙픽을 유발시키거나 전파하는 것인데 특정 포트번호로 포트스캔이 많이 발생돼 있다면 즉 특정포트로 연결시도가 빈번하게 일어나 있거나 이상한 숫자의 포트번호가 열려있다면 웜을 의심해 볼 수있는 것이다.
이러한 방식으로 웜에 대한 응급처치를 해야 하는데 일단 웜은 네트워크를 타고 빠른 속도로 전파가 되므로 가장 먼저 해야할 일은 네트워크를 차단하여 전파를 막는것이다. 가장 쉬운 네트워크 차단 방법은 컴퓨터 본체에 연결되어있는 네트워크 케이블을 분리시키는 것이다.
네트웍이 차단되면 그 다음부터는 자신의 시스템에 있는 웜을 없애주어야하는데 처음에 언급했던 작업관리자를 실행시켜 의심이 되는 프로세스를 종료시킨 다음에 해당 파일을 탐색기에서 찾아서 삭제를 하면 된다.
마지막으로 레지스트리에 등록되어 있는 웜 정보를 삭제한다. 방법은 윈도 시작 -> 실행 선택을 하고 실행창에다가 regedit입력하고 확인 버튼을 클릭한다.
화면에 나타나는 레지스트리 편집기창에서 HKEY_LOCAL_MACHINE->SOFTWARE->Microsoft->Windows->CurrentVersion 경로를 찾아가서 클릭하면 왼쪽창에 윈도 시작과 함께 실행되는 프로세스들이 나타난다.