맬웨어 제거-빠른 가이드

최근 몇 년 동안 많은 사람들과 대기업이 소중한 데이터를 잃어 버리거나 시스템이 해킹당하는 상황에 처해 있다는 이야기를 들었습니다. 이러한 원치 않는 활동은 대부분의 경우 네트워크 시스템, 서버 또는 개인용 컴퓨터에 삽입 된 소프트웨어를 사용하여 발생합니다. 이 소프트웨어는malware.

맬웨어는 시스템 또는 네트워크에 직접 해를 입히거나 소유자가 의도 한대로 사용하지 않고 다른 사람이 사용하도록 전복시킬 수 있습니다. 두 단어의 조합입니다.Mal 의미 BadWare 의미 Software.

www.av-test.org를 기반으로 한 통계는 엄청나게 증가하고 있습니다. 맬웨어의 성장을 이해하려면 다음 그래프를 참조하십시오.

보시다시피 2016 년에만 600,000,000 개 이상의 맬웨어가 탐지되었습니다. 기반securelist.com, 컴퓨터에 감염된 국가는 더 깨끗한 컴퓨터에 비해-

최대 위험 (60 % 이상) 22 개국
키르기스스탄 (60.77 %) 아프가니스탄 (60.54 %).
고위험 (41-60 %) : 다음을 포함한 98 개국
인도 (59.7 %) 이집트 (57.3 %) 벨로루시 (56.7 %)
터키 (56.2 %) 브라질 (53.9 %) 중국 (53.4 %)
UAE (52.7 %) 세르비아 (50.1 %) 불가리아 (47.7 %)
아르헨티나 (47.4 %) 이스라엘 (47.3 %) 라트비아 (45.9 %)
스페인 (44.6 %) 폴란드 (44.3 %) 독일 (44 %)
그리스 (42.8 %) 프랑스 (42.6 %) 한국 (41.7 %),
오스트리아 (41.7 %)
중등도 지역 감염률 (21-40.99 %) : 다음을 포함한 45 개국
루마니아 (40 %) 이탈리아 (39.3 %) 캐나다 (39.2 %)
호주 (38.5 %) 헝가리 (38.2 %) 스위스 (37.2 %)
미국 (36.7 %) 영국 (34.7 %) 아일랜드 (32.7 %)
네덜란드 (32.1 %), 체코 (31.5 %) 싱가포르 (31.4 %)
노르웨이 (30.5 %) 핀란드 (27.4 %) 스웨덴 (27.4 %),
덴마크 (25.8 %), 일본 (25.6 %).

멀웨어는 데이터 파괴, 데이터를 다른 장소로 자동 전송, 데이터 변경, 지정된 기간까지 계속 모니터링하는 것과 같은 다양한 목적으로 해커로부터 설계 될 수 있습니다. 보안 조치를 비활성화하거나 정보 시스템을 손상 시키거나 데이터 및 시스템 무결성에 영향을 미칩니다.

또한 다양한 유형과 형식으로 제공되며이 튜토리얼의 다음 장에서 자세히 설명합니다.

맬웨어의 작동 방식을 이해하려면 먼저 아래와 같이 5 단계로 구분 된 맬웨어 공격의 구조를 확인해야합니다.

  • 진입 지점
  • Distribution
  • Exploit
  • Infection
  • Execution

위에서 언급 한 점을 자세히 이해합시다.

진입 지점

악성 코드는 다양한 방법으로 시스템에 침입 할 수 있습니다.

  • 사용자가 최근에 감염된 즐겨 찾는 웹 사이트를 방문합니다. 이것은 맬웨어의 진입 점이 될 수 있습니다.

  • 사용자가 이메일에 포함 된 URL을 클릭하면 해당 브라우저가 탈취됩니다.

  • 멀웨어는 USB 또는 외장 하드 드라이브와 같은 감염된 외부 미디어를 통해 침입 할 수도 있습니다.

분포

멀웨어는 브라우저, Java, Flash 플레이어 등과 같은 OS 및 애플리케이션을 확인하는 익스플로잇 서버로 트래픽을 리디렉션하는 프로세스를 시작합니다.

공적

이 단계에서 exploit OS를 기반으로 실행을 시도하고 권한을 에스컬레이션하는 방법을 찾습니다.

감염

이제 성공적으로 설치된 익스플로잇은 액세스를 유지하고 원격 액세스, 파일 업로드 / 다운로드 등과 같은 피해자를 관리하기 위해 페이로드를 업로드합니다.

실행

이 단계에서는 맬웨어를 관리하는 해커가 데이터를 훔치고 파일을 암호화하는 등의 작업을 시작합니다.

맬웨어는 다양합니다. 그들은 다른 기능에서 비롯되며 다양한 상황에서 다르게 작동합니다. 가장 악명 높고 위험한 맬웨어 유형은 다음과 같습니다.

  • Virus
  • Adware
  • Spyware
  • Trojan
  • Rootkits
  • Botnets
  • 랜섬웨어

이들 각각을 자세히 이해합시다.

바이러스

바이러스는 흥미로운 방식으로 작동하는 맬웨어 프로그램입니다. 이 프로그램은 다른 컴퓨터 프로그램, 부트 섹터, 데이터 파일, 하드 디스크 등에 자신의 일부 복사본을 넣어 실행하거나 복제합니다. 복제 프로세스가 완료되면 영향을받는 영역이 감염된 영역이라고합니다. .

바이러스는 감염되었을 때 호스트에서 가장 해로운 활동을 수행하도록 구축되었습니다. CPU 시간이나 하드 디스크의 공간을 훔칠 수 있습니다. 또한 데이터를 손상시킬 수 있고 시스템 화면에 재미있는 메시지를 표시 할 수 있습니다.

애드웨어

이 소프트웨어는 주로 광고 지원 소프트웨어입니다. 내부 광고와 함께 자동으로 제공되는 패키지입니다. 따라서 소유자에게 좋은 수입을 올릴 수 있습니다.

스파이웨어

스파이웨어는 주로 일부 조직이나 개인에 대한 정보를 수집하는 데 사용되는 소프트웨어입니다. 그 정보는 그 정보가 자신의 시스템에서 나온다는 사실을 누구도 알지 못하는 사이에 수집됩니다.

트로이 사람

트로이 목마는자가 복제가 아닌 유형의 맬웨어입니다. 여기에는 특정 트로이 목마의 특성에 따라 결정된 일부 작업을 수행하는 일부 악성 코드가 포함되어 있습니다. 이것은 실행시에만 발생합니다. 조치의 결과는 일반적으로 데이터 손실이며 여러 가지 방식으로 시스템에 해를 끼칠 수도 있습니다.

루트킷

루트킷은 스텔스 유형의 맬웨어입니다. 그들은 실제로 자신을 매우 잘 숨길 수 있도록 특별한 방식으로 설계되었으며 시스템에서 감지하기가 매우 어렵습니다. 정상적인 감지 방법은 작동하지 않습니다.

봇넷

봇넷은 인터넷을 통해 연결된 컴퓨터에 설치된 소프트웨어로, 동일한 유형의 다른 프로그램과 통신하여 일부 작업을 수행 할 수 있도록 도와줍니다. 인터넷 관련 차트 인 일부 IRC를 제어하는 ​​것과 동일 할 수 있습니다. 또한 일부 스팸 이메일을 발송하거나 서비스 거부 공격의 일부 배포에 참여하는 데 활용할 수 있습니다.

랜섬웨어

랜섬웨어는 하드 드라이브에있는 파일을 암호화하는 소프트웨어입니다. 그들 중 일부는이 프로그램을 구현 한 사람에게 돈을 지불하는 것에 대한 메시지를 단순히 보여주는 것으로 끝날 수도 있습니다.

일반적으로 컴퓨터가 감염되면 더 단순한 사용자도 알아 차릴 수있는 몇 가지 증상이 있습니다.

일반적인 맬웨어 탐지 기술

가장 일반적으로 사용되는 맬웨어 탐지 기술 중 일부는 다음과 같습니다.

  • 컴퓨터에 팝업 및 오류 메시지가 표시됩니다.

  • 컴퓨터가 자주 멈추고 작업 할 수 없습니다.

  • 프로그램이나 프로세스가 시작되면 컴퓨터 속도가 느려집니다. 이것은 작업 관리자에서 소프트웨어 프로세스가 시작되었지만 아직 작업을 위해 열리지 않았 음을 알 수 있습니다.

  • 제 3자가 소셜 미디어 또는 귀하의 이메일을 통해 초대를 받고 있다고 불평합니다.

  • 파일 확장자 변경 사항이 나타나거나 사용자의 동의없이 파일이 시스템에 추가됩니다.

  • 인터넷 속도가 매우 빠르더라도 Internet Explorer가 너무 자주 멈 춥니 다.

  • 하드 디스크는 대부분의 경우 액세스되며 컴퓨터의 깜박이는 LED 표시 등에서 볼 수 있습니다.

  • OS 파일이 손상되었거나 없습니다.

  • 컴퓨터가 너무 많은 대역폭이나 네트워크 리소스를 사용하고 있다면 컴퓨터 웜의 경우입니다.

  • 아무 조치도 취하지 않더라도 하드 디스크 공간은 항상 사용됩니다. 예를 들어, Mew 프로그램 설치.

  • 파일 및 프로그램 크기는 원래 버전과 비교하여 변경됩니다.

맬웨어와 관련이없는 오류

다음 오류는 not related to Malware 활동 −

  • 시스템이 Bios 단계에서 부팅되는 동안 오류 (예 : Bios의 배터리 셀 표시, 타이머 오류 표시).

  • 경고음, RAM 굽기, HDD 등과 같은 하드웨어 오류

  • 문서가 손상된 파일처럼 정상적으로 시작되지 않지만 그에 따라 다른 파일을 열 수 있습니다.

  • 키보드 나 마우스가 명령에 응답하지 않습니다. 플러그인을 확인해야합니다.

  • 깜박임 또는 진동과 같이 모니터를 너무 자주 켜고 끄는 것은 하드웨어 결함입니다.

다음 장에서는 맬웨어 제거를 준비하는 방법을 이해합니다.

맬웨어는 프로그램에 자신을 연결하고 일부 이벤트를 사용하여 다른 프로그램으로 전송합니다. 이러한 이벤트는 스스로 시작할 수없고 실행 불가능한 파일을 사용하여 전송하고 다른 네트워크 나 컴퓨터를 감염시킬 수 없기 때문에 발생해야합니다.

제거 단계를 준비하려면 먼저 맬웨어를 죽이기 위해 모든 컴퓨터 프로세스가 맬웨어에 의해 사용되고 있는지 이해해야합니다. 차단하기 위해 어떤 트래픽 포트를 사용하고 있습니까? 이러한 멀웨어와 관련된 파일은 무엇입니까?이를 복구하거나 삭제할 수 있습니다. 여기에는이 정보를 수집하는 데 도움이되는 도구가 포함되어 있습니다.

조사 프로세스

위에서 언급 한 결론을 통해 일부 비정상적인 프로세스 또는 서비스가 자체적으로 실행될 때 가능한 바이러스와의 관계를 자세히 조사해야한다는 것을 알아야합니다. 조사 과정은 다음과 같습니다-

프로세스를 조사하려면 다음 도구를 사용하여 시작해야합니다.

  • fport.exe
  • pslist.exe
  • handle.exe
  • netstat.exe

그만큼 Listdll.exe 모든 것을 보여줍니다 dll files사용되고 있습니다. 그만큼netstat.exe변수는 해당 포트에서 실행되는 모든 프로세스를 보여줍니다. 다음 예는 프로세스가Kaspersky Antivirus프로세스 번호를보기 위해 netstat-ano 명령에 매핑됩니다. 어떤 프로세스 번호에 속하는지 확인하기 위해 작업 관리자를 사용합니다.

Listdll.exe의 경우 다음 링크에서 다운로드했습니다. https://technet.microsoft.com/en-us/sysinternals/bb896656.aspx 사용중인 DLL과 연결된 프로세스를 확인하기 위해 실행할 수 있습니다.

CMD를 열고 다음 스크린 샷과 같이 Listdll.exe 경로로 이동 한 다음 실행합니다.

다음 스크린 샷과 같은 결과를 얻을 수 있습니다.

예를 들어, PID 16320은 dllhost.exe, 설명이 있습니다. COM Surrogate그리고 왼쪽에. 이 프로세스에 의해 표시되는 모든 DLL이 표시되어 Google에서 확인할 수 있습니다.

이제 다음 링크에서 다운로드 할 수있는 Fport를 사용합니다. https://www.mcafee.com/hk/downloads/free-tools/fport.aspx# 서비스와 PID를 포트에 매핑합니다.

서비스를 모니터링하고 얼마나 많은 리소스를 사용하는지 확인하는 또 다른 도구는 "프로세스 탐색기"라고하며 다음 링크에서 다운로드 할 수 있습니다. https://download.sysinternals.com/files/ProcessExplorer.zip 다운로드 후 exe 파일을 실행하면 다음과 같은 결과를 볼 수 있습니다.

이 장에서는 모든 유형의 맬웨어에 감염된 컴퓨터를 치료하는 방법을 이해합니다. 아래 단계를 따르십시오.

Step 1− 우선 네트워크에서 컴퓨터 연결을 해제해야합니다. 케이블 연결이나 무선 연결이 될 수 있습니다. 이는 해킹 프로세스가 해커와의 연결이 끊어져 더 이상 데이터가 유출되지 않도록하기위한 것입니다.

Step 2 − 컴퓨터 시작 Safe Mode, 필요한 최소 프로그램 및 서비스 만로드됩니다. Windows가 시작될 때 맬웨어가 자동으로로드되도록 설정되어있는 경우이 모드로 들어 가지 못할 수 있습니다. 이것은 파일이 실제로 실행 중이거나 활성 상태가 아니기 때문에 파일을 더 쉽게 제거 할 수 있기 때문에 중요합니다.

안전 모드에서 컴퓨터 시작

안전 모드로 컴퓨터를 시작하는 것은 Windows 7에서 Windows 10까지 다양합니다. Windows 10 OS의 경우 단계는 다음과 같습니다.

Step 1Windows logo key + I키보드에서 설정을 엽니 다. 그래도 작동하지 않으면 화면 왼쪽 하단에있는 시작 버튼을 선택한 다음 설정을 선택합니다. 업데이트 및 보안 → 복구를 선택합니다.

Step 2 − 고급 시작 섹션에서 지금 다시 시작을 선택합니다.

Step 3 − PC가 옵션 선택 화면으로 다시 시작되면 문제 해결 → 고급 옵션 → 시작 설정 → 다시 시작을 선택합니다.

Step 4− PC가 다시 시작되면 옵션 목록이 표시됩니다. 안전 모드에서 PC를 시작하려면 4 또는 F4를 선택하십시오. 인터넷을 사용해야하는 경우 안전 모드 (네트워킹 포함)로 5 또는 F5를 선택합니다.

임시 파일 삭제

임시 파일을 삭제하십시오. 이렇게하면 바이러스 검사 속도가 빨라지고 디스크 공간이 확보되며 일부 맬웨어도 제거됩니다. 사용하려면Disk Cleanup Utility, Windows 10에 포함되어 있습니다. Disk Cleanup 검색 창에서 또는 시작 버튼을 누른 후 나타나는 도구 인 디스크 정리를 선택합니다.

관련 될 수있는 맬웨어 프로세스 중지

관련된 모든 악성 프로세스를 종료하려고 시도합니다. 이를 위해 다음 링크에서 쉽게 다운로드 할 수있는 Rkill을 사용합니다 – www.bleepingcomputer.com/download/rkill/

맬웨어 스캐너 다운로드 및 스캔 시작

컴퓨터에 이미 바이러스 백신 프로그램이 활성화되어있는 경우 현재 바이러스 백신 소프트웨어가 맬웨어를 감지하지 못했을 수 있으므로이 맬웨어 검사에 다른 스캐너를 사용해야합니다. 잘 알려진 바이러스 백신 소프트웨어의 대부분은 다음 스크린 샷에 나와 있습니다.

바이러스는 컴퓨터 사용자의 도움을 받아야만 외부 컴퓨터를 감염 시킨다는 것을 이해해야합니다. 이는 알 수없는 사람이 보낸 이메일에 첨부 된 파일을 클릭하거나, 스캔하지 않고 USB를 연결하거나, 안전하지 않은 URL을 여는 것과 같이 될 수 있습니다. 이러한 이유로 , 우리는 시스템 관리자로서 컴퓨터에서 사용자의 관리자 권한을 제거해야합니다.

악성 코드가 시스템에 침입하는 가장 일반적인 방법은 다음과 같습니다.

  • 알 수없는 사람이나 의심스러운 텍스트가 포함 된 알려진 사람이 보낸 이메일 첨부 파일을 열지 마십시오.

  • 소셜 미디어에서 알 수없는 사람의 초대를 수락하지 마십시오.

  • 알 수없는 사람이나 이상한 형식의 알려진 사람이 보낸 URL을 열지 마십시오.

시스템을 최신 상태로 유지하기위한 몇 가지 다른 중요한 포인터는 다음과 같습니다.

  • 정기적으로 운영 체제를 계속 업데이트하십시오.

  • 바이러스 백신 소프트웨어를 설치하고 업데이트합니다.

타사에서 가져온 이동식 저장소는 업데이트 된 바이러스 백신 소프트웨어로 검사해야합니다. 또한 다음 사항도 확인하십시오.

  • 모니터가 화면 보호기를 사용하고 있는지 확인하십시오.

  • 컴퓨터 방화벽이 켜져 있는지 확인하십시오.

  • 정기적으로 백업을하고 있는지 확인하십시오.

  • 유용하지 않은 주식이 있는지 확인하십시오.

  • 계정에 모든 권한이 있거나 제한되어 있는지 확인하십시오.

  • 다른 타사 소프트웨어를 업데이트합니다.

맬웨어 위험 관리

맬웨어 위험 관리는 주로 단일 컴퓨터 사용자를 준수하지 않는 회사를위한 것입니다. 맬웨어로 인한 위험을 관리하기 위해 사용되는 기술을 수용하는 몇 가지 핵심 요소가 있으며 인적 요소도 있습니다. 위험 관리는 맬웨어 위험을 식별하고 비즈니스 프로세스에 미칠 수있는 영향에 따라 우선 순위를 지정하는 분석과 관련이 있습니다.

중소 기업 환경에서 맬웨어 위험을 줄이려면 다음 사항을 고려해야합니다.

  • 공통 정보 시스템 자산
  • 일반적인 위협
  • Vulnerabilities
  • 사용자 교육
  • 위험 관리와 비즈니스 요구의 균형

다음 장에서는 몇 가지 중요한 맬웨어 제거 도구에 대해 알아 봅니다.

이전 장에서는 맬웨어가 무엇인지, 어떻게 작동하는지, 어떻게 치료하는지에 대해 논의했습니다. 그러나이 장에서는 맬웨어 방지 또는 바이러스 백신으로 분류되는 자동 보호의 다른 측면을 살펴 보겠습니다. 요즘에는이 소프트웨어의 사용이 매우 중요합니다. 이전 장에서 보았 듯이 악성 코드의 수가 기하 급수적으로 증가하고있어 탐지가 불가능하기 때문입니다.

맬웨어 방지 제작자마다 맬웨어를 감지하는 방법에 대한 자체 기술과 기술이 있지만 거의 매일 새로운 맬웨어 감지로 업데이트되기 때문에 감지 속도가 매우 빠르다는 점을 언급 할 가치가 있습니다.

세계적으로 가장 유명하고 효과적인 맬웨어 방지 또는 바이러스 백신이 아래에 나와 있습니다.

  • 맥아피 스팅거

  • HijackThis

  • Malwarebytes

  • Kaspersky Endpoint Security 10

  • Panda 무료 안티 바이러스

  • Spybot 검색 및 파괴

  • Ad-Aware Free Antivirus +

  • AVG Antivirus 2016

  • SUPERAntiSpyware

  • Microsoft 보안 기초