스티브 잡스 관련 악성코드 유포 주의


스티브 잡스가 세상을 떠난지 일주일이 다 되어갑니다. 세상을 혁신의 물결로 물들였던, 시대의 아이콘 스티브 잡스의 죽음은 전세계 IT 팬들, 애플 팬들을 안타깝게 하고 있는데요. 그런 안타까움을 역으로 이용하는 나쁜 녀석들이 있나봅니다. 스티브 잡스 악성코드가 유포되고 있다는 소식이 나오고 있는데요.


스티브 잡스 악성코드

(사진=안철수 연구소)




이메일을 통해서 퍼지고 있는 이 악성코드는 "스티브 잡스가 살아있다( Steve Jobs Alive! )" 라고 하는 제목을 갖고 있는 형태라고 합니다. 스티브잡스의 죽음을 안타까워하는 사람들의 마음을 역이용해서 악성코드를 유포하는 웹 페이지로 유도하고 있습니다.

해당 메일에 담겨있는 링크를 타고 가시면 악성코드가 여러분의 컴퓨터는 악성코드에 감염이 되고, worms.jar 라는 파일이 자동으로 다운로드되어 동일한 메일을 대량으로 보내는 행동을 하는 소위 '좀비PC'로 오염되게 됩니다. 특히 악성코드가 설치되었을 경우 여러분의 아이디와 비밀번호가 대량으로 유출 될 수 있으므로 대비를 해야한다고 경고하고 있습니다.

악성코드가 담겨 있는 것으로 확인된 메일의 제목은 'Steve Jobs Alive', 'SteveJobs Not Dead' 등의 패턴을 보이고 있습니다. 스티브 잡스가 죽지 않았다는 내용의 이메일을 받아보시면 열지 마시고 삭제 해주시기 바랍니다.



스티브 잡스 악성코드

(사진=애플홈페이지)




지난주 애플의 키노트에서는 키노트 생중계를 한다며 악성코드를 유포하는 사이트가 있더니 스티브 잡스의 죽음을 이용해서 돈벌이를 하려는 사람들이 있군요.

비슷한 메일을 열어봤거나 의심이 가시는 분들은 백신을 이요해서 검사를 한 뒤 치료를 받으시길 바랍니다.

[블로거 간담회] 알약 2.0 더 가볍게, 더 강력하게


알약 블로거 간담회에 다녀왔습니다. 사실 블로거 간담회는 지난주 수요일이었는데, 포스팅이 밀리고 밀려서 오늘 발행하게 되었네요. 이스트 소프트의 대표적인 백신, 사용자 수로 우리나라 최고 숫자를 기록하고 있는 알약이 알약 2.0을 새로 출시하면서 소통의 창을 열었습니다.



마침 지지난주 주말에 대한민국의 주요 웹사이트에 대한 디도스 공습이 있어서 백신 업계, 보안 업계가 비상사태여서 궁금한게 많이 있었습니다. ( 사실 저보다는 다른 분들이 궁금한게 많으신것 같았습니다. 저야 백신은 믿고 사용할 뿐,, ㅎ )

출처 : 알약 2.0 블로거 간담회 中



▶ 달라진 알약 2.0

블로거 간담회에 참석하기 전에 잠깐 노트북에 알약 2.0 베타버젼을 설치해서 테스트를 해봤습니다. 외관상으로는 달라진게 없는 것처럼 많이 바뀌지는 않았습니다. 적어도 체감상 성능이외에는 변한게 없는데요. 보안 소프트웨어 특성상 인터페이스의 큰 변화는 피해야 한다는 결정이 있었다고 하네요.

그래도 새로움을 강조하기위해서 약간은 달라졌으면 어떨까 생각도 해봤습니다. "우리 새로와 졌어요~" 하고 어필을 하되, 직관적으로 인식할 수 있는 인터페이스를 적용해서 새로움과 편리함을 동시에 잡아 보는게 어떤가, 살짝 아쉽기도 했습니다. ( 하지만 백신이 이뻐서 쓰는건 아니기 때문에.. ㅎ )

아무튼 달라진 알약의 큰 특징은 4가지로 요약이 됩니다.



1. 경량화

백신이 무거우면 사용하기 꺼려집니다. 여기서 무겁다는 것은 실행 중, 혹은 유휴 상태에서 얼만큼 메모리를 잡아 먹느냐를 가지고 판단 할 수 있습니다. 알약은 이번에 경량화 작업에 집중을 했다고 합니다. 이전 기업용 버전에서 기능과 성능적인 측면을 달성하고 배포용 무료버전에서는 성능을 최대한 유지하면서 경량화를 해서 저사양 PC에서도 무리없이 돌아갈 수 있도록 하는데 총력을 다했다고 합니다.

실제로 알약 2.0 베타 버젼을 설치하고 검사를 해본 결과 체감상 약간 빨라진 느낌이 들었습니다. 정확한 벤치마킹 테스트는 해보지 않았지만 느낌상 확 빨라졌다는 생각이 들었습니다. ( 실제로 가벼워 진 느낌이었습니다. 기분탓일까요? )



2. 자가보호

한간에 알약이 자폭을 한다는 캡쳐사진이 떠돌았습니다. 실제로 알약의 분석팀이 분석해본결과 알약 자체가 악성코드에 감염된 사례였다고 합니다. 그래서 알약 실시간 감시 엔진이 그 감염된 파일을 잡은 모습이 마치 자폭을 하는 듯한 인상을 심어 준것이지요.

사실 이전에는 자가보호라는 개념이 많이 부족했다고 합니다. 하지만 백신들이 널리퍼지고 악성코드 유포자들, 바이러스 제작자들이 백신 자체를 공격하게 되면서 1,700만명의 사용자를 보유하고 있는 알약이 많은 해커들의 타겟이 되었다고 합니다.

그래서 이번 알약 2.0에서는 강력한 자가보호 기능을 추가했다고 합니다. 뭐랄까요. 자기자신부터 지켜야 사용자의 PC도 지킬 수 있겠지요?  그것이 곧 백신 프로그램의 신뢰도와 직결 될 테니 말입니다.




3. 트리플 엔진

알약의 내부 구조는 3개의 엔진이 상호보완적으로 돌아가고 있다고 합니다. 이스트 소프트 자체 엔진인 테라엔진, 비트디펜더 엔진, 소포스 엔진. 이렇게 3개의 엔진이 차례로 실행되어 바이러스를 탐지하고 치료한다고 합니다.

바이러스가 퍼지는 패턴은 국가마다 다릅니다. 아무리 세계적인 백신이라도 특정 지역에서 유행하는 바이러스들의 탐지율이 떨어질 수 있습니다. 알약은 이에 테라엔진으로 국내에 유행하는 악성코드에 대응하고 그 이외에 것을 비트 디펜더와 소포스 엔진을 사용해서 필터링 해낸다고 합니다.

소포스 엔진은 옵션으로 선택 할 수 있어서 저사양 PC에 부담이 덜 가도록 배려도 했다고 하네요.




4. 64비트 OS 완벽 지원

이제 컴퓨터들이 64비트로 출시되고 있습니다. 저도 이번에 연구실 컴퓨터가 64비트로 되어 버렸는데요. 우리가 그 동안 사용했던 컴퓨터들은 대부분 32비트였습니다. 즉, 컴퓨터의 구조 자체가 다르다는 것이지요. 아직 대다수가 32비트여서 메인 마켓은 32비트 시장에 있지만, 앞으로는 64비트 컴퓨터 들이 많이 보급될 것을 보고 64비트에서 돌아갈 수 있도록 지원을 한다고 합니다.

다만 트리플 엔진 중, 소포스 엔진은 아직 64비트 아키텍쳐를 지원하지 않아 64비트에서는 듀얼엔진으로 밖에 사용하지 못 한다고 하네요. 그래도 소포스까지 넘어가는 비율은 극히 적기 때문에 안전하다고 합니다.


▶ 개발진 들과의 대화

이번 블로그 간담회에는 알약 2.0의 개발을 담당했던 개발진 분들이 함께해서 더욱 유익했습니다. 사무적이고 홍보적인 블로그 간담회라기 보단 알약에 대한 보다 전문적인 답변을 할 수 있도록 직접 개발진들이 오셔서 질의 응답 시간도 가졌습니다.

소프트웨어를 소개하는 자리에 개발진이 참석하는게 어쩌면 당연할지도 모르지만 그렇지 않은 경우도 많이 있거든요. ㅎ 아무튼 알약에 대해서 궁금한것, 모르던 것도 많이 알게 되었습니다.

ps. 제가 카메라가 없어서 사진은 찍지 못 했네요. ㅎ 다음 블로그 간담회나 모임에 대비해서 카메라나 하나 사둬야겠습니다. ㅎ




애드찜 악성코드 유포 해결..


어제 갑자기 제 블로그를 통해서 악성코드가 유포되는 것을 봤습니다.

2010/08/15 - [블로그] - 내 블로그가 악성코드 유포를??

rook.html 이라는 파일을 다운로드 하게 하고, 그 파일을 통해서 알 수 없는 세팅을 유도하고 있는 파일이었는데요.
악성코드 배포의 출처를 보니 애드찜이었습니다. ( 테스트를 해봤고, 애드찜 위젯을 달아 놓으신 다른 분들도 모두 rook.html을 유포하고 있었습니다. )

그래서 일단 애드찜 위젯을 내렸고, 애드찜 관리자에게 메일을 보냈었습니다.
오늘 낮에 답변 메일이 왔네요.



악성코드 유포가 감지되어 구글에 유해 사이트로 지정되었나 봅니다.
현재는 임시로 조취를 취해 놨다네요.


메일이 관리자에게서 한번, 애드찜 대표이사 분에게서 한번 왔는데요.
아마 많은 분들이 문의 메일을 보냈나 봅니다.

애드찜 홈페이지에도 공지사항으로 악성코드 유포와 관련 된 내용을 게제하고 있습니다.


아무튼 이번건으로 일부 블로거들이 구글을 비롯한 여러 사이트에서 유해 사이트 필터링에 걸리게 된 모양입니다.
본의 아니게 이런 악성 코드를 유포하게 되었는데요.
저는 다행히도 유해 사이트에 걸리지 않았네요. 필터링에 걸리게 된 분들은 어서 문의 하시고 유해 사이트등록을 해지하시기 바랍니다. ㅜㅜ

Baikinman (ばいきんまん)
Baikinman (ばいきんまん) by St Stev 저작자 표시비영리변경 금지

악성코드를 배포하는 사이트를 발견하거나 의심되는 증상이 있으면 어서어서 신고하고 해당 사이트 관리자에게 알려주어야 할 것 같습니다. ㅜㅜ

티스토리, 스팸 필터 기능


블로그 규모를 키워나가고 방문자 수가 많아지면서 골치가 아파지는 것이 댓글 관리일 것입니다.
방문자께서 남겨 주신 댓글 하나하나가 모두 소중하고 감사한 것들인데요.
요즘 스팸 댓글이 절 많이 괴롭히고 있습니다.


오늘 제 글에 달린 댓글들인데요.
최근 댓글보기로 보면 별 이상할 것이 없습니다만, 중간에 다른 닉네임으로 같은 내용의 댓글이 달린 것 같이 보이는게 있었습니다. 중복 댓글을 지우기 위해 댓글 관리 창으로 가봤더니



가관이었습니다.
한 아이피로 엄청 도배를 해 놨더군요.
작성자도 바꿔가면서 댓글 도배를 해 놨습니다.


게다가 중간에 "인도에 박힌 별..." 이라는 제목의 포스트에는 내일이 입춘이라는 말도 안 되는..
봇의 냄새가 나는 댓글이 달려 있었습니다.
그래서 포스트를 클릭해 보니..



뭡니까 이게...
제대로 도배를 해 놨네요.
그리고 스크롤을 조금 올려보니..




불탄님께서 달아 놓으신 댓글을 그대로 벳겨다가 붙여 넣었군요.
다른 포스트에 달린 댓글도 본문이나 다른 블로거 분들이 달아 놓은 댓글을 샘플링해서 달아 놓고 있습니다.
똑똑한데요?

게다가 닉네임엔 링크까지 달려있어서 전형적인 커머셜 목적의 스패머임이 확실했습니다.
처음엔 하나하나 다 지우다가 너무 많고, 기계의 근성을 이길 자신이 없어서 티스토리의 스팸 필터 기능을 사용해보기로 했습니다.


티스토리의 스팸 필터 기능

티스토리의 관리자 페이지에 들어가보면,
환경설정이라는 메뉴가 있습니다.


환경설정에 마우스를 가져가면 드롭다운 메뉴가 나오는데,
두번째 메뉴가 이번에 사용 할 스팸 필터 메뉴입니다.


스팸 필터는 말 글대로 댓글/트랙백/방명록 등에 어떤 특정 단어나 링크, 혹은 특정 유저가 댓글을 달면 자동으로 삭제를 해주는 기능입니다. 티스토리에선 자동으로 휴지통이라는 공간으로 보내져서 노출이 되지 않게 하고 있습니다.


그럼 스팸 필터 기능을 한번 써보도록 하겠습니다.
IP 필터링 기능엔 이미 한 IP가 등록이 되어 있네요.
똑같은 봇 냄새가 나는 아이피를 차단 시켜 버렸던 건데, 똑같은 종류의 댓글들이 다른 아이피로 달리고 있네요. 쩝...
아무튼 도배를 하고 있는 아이피를 IP 필터링에 등록을 시키고,
사이트 필터링에 백링크를 받고 있는 사이트를 등록시켜 놓겠습니다.


전부 등록했습니다.
스팸 필터 기능이 이제 진가를 발휘해야 겠네요.
이제 스팸 댓글들을 다 지우면 스팸 청소  끝~~..


스팸 댓글을 다 치우니까 휴지통에 26개의 댓글이 들어있네요.
어제도 30개 정도 치웠으니까 정말 많네요.
글이 별로 없는 제 블로그에도 이렇게 스팸댓글이 많이 달리는데,
글이 많고 댓글도 많이 달리는 파워 블로거 분들은 댓글처리 어떻게 하시는지 갑자기 궁금해 지네요. ㅎㅎ

덧) 스팸 댓글을 치워야 하는 이유!

스팸 댓글의 목적이 커머셜 목적. 즉, 자신이 운영하는 온라인 쇼핑몰의 홍보만 있는 것이 아닙니다.
스팸 댓글의 링크에 자동으로 DDOS 공격에 이용할 악성코드를 심어 놓을 경우,
여러분의 블로그가 DDOS 공격의 병력 양성소가 될 수도 있다는 말입니다.
백링크가 의심스럽거나 바이러스가 심어져 있는 스팸 댓글은 항상 깨끗이 치워 버려야 합니다.
반드시요!!

그리고 여러분의 컴퓨터가 바이러스에 감염되지 않았는지 항상 주의 깊게 검사를 해보시기 바랍니다.
이번에 안철수 연구소에서 기업용 백신을 묶어서 판매하고 있네요.
설치형 블로그나 개인용 홈페이지를 이용하고 계신 분들, 서버를 운영하고 계신 분들은 참고하시기 바랍니다.




덧2) 개인 정보 유출 주의 하세요

이런 악성 댓글의 링크에는 스파이웨어가 심어져 있을 수도 있습니다.
요즘 개인정보 유출로 인한 피해가 심심치 않게 들려 오는데요. 자신의 개인정보는 자신이 지켜야 하는 것입니다.
Active X 함부러 설치하지 마시고, 개인 정보 관리를 철저하게 하시기 바랍니다.



그럼 즐거운 인터넷 하세요 ^^



[프로세스 백과] lsass.exe 는 뭐하는 프로세스일까?


 작업관리자에서 볼 수 있는 lsass.exe... 이 프로세스는 어떤 역할을 하는 프로세스일까요?


lsass.exe

lsass.exe



 lsass.exe는 Local Security Authentication Server의 약자입니다. lsass.exe는 운영체제( 윈도우즈 ; Windows )내에서의 보안정책의 시행을 담당합니다. 이 프로세스는 시스템에 접근하려고 하는 모든 사용자를 체크합니다. lsass.exe라는 프로세스를 운용함으로써, 시스템은 개인정보로의 원치않는 접근을 막아 보안을 지키게 됩니다. lsass.exe는 또한 유저가 패스워드 변경을 할 떄도 작용을 하게 됩니다.
 lsass.exe는 시스템 프로세스이기 때문에 종료를 하게 되면, 예기치 못 한 오류를 발생시키거나 심각한 보안상 문제점을 야기 할 수 있습니다. SYSTEM에 의해서 구동되는 lsass.exe는 정성 프로세스이며 필수적인 프로세스이기 때문에 강제 종료는 추천하지 않습니다.

[ 바이러스 의심 ]
 lsass.exe역시 민감한 프로세스이기 때문에 유사한 이름의 바이러스나 웜 등이 많이 있습니다. lass.exe나 lsas.exe 같은 약간 엉성한 이름의 프로세스가 여러분의 PC에 구동되고 있다면 즉시 바이러스 검사 프로그램으로 검사를 해 주시기 바랍니다.
 또 한 습관적인 바이러스 검사는 여러분의 PC와 개인정보를 지키는 안전한 길이므로 항상 바이러스 체크를 해두시기 바랍니다.





smss.exe는 뭐하는 프로세스인가?


 작업관리자에 나타나는 smss.exe... 뭐하는 프로세스 일까요? smss.exe는 사용자 세션을 위한 Session Manager SubSystem의 약자로 Microsoft사의 윈도우즈 운영체제의 한 부분인 시스템 프로세스입니다. smss.exe는 시스템 스레드에 의해서 초기화되며, 여러분의 컴퓨터에서 세션에 관한해 실행, 처리, Winlogon.exe의 실행, csrss.exe의 실행, 시스템 변수의 세팅 등과 같은 다양한 역할을 담당합니다.

 윈도우즈가 정상적으로 동작하기 위해서 필요한 프로세스이기 때문에 강제 종료 할 시에는 심각한 문제가 발생할 가능
성도 있습니다.




* 바이러스?

 최근들어 smss.exe를 감염시켜 시스템을 장악하는 형식의 malware 들이 많이 있다고 합니다. 경로가 C:\windows\system32\ 안에 있는 것이 정상이며 이외의 경로는 바이러스의 가능성이 높습니다. 이 프로세스는 Winlogon.exe나 csrss.exe같은 시스템의 핵심적인 프로세스를 가동시키는 역할을 하기 때문에 감염될시에는 시스템이 장악당할 수도 있기 때문에 각별히 주의해야 하는 프로세스입니다. 

 이 프로세스도 조금이라도 의심이 가시면 안티바이러스 백신을 이용하여 스캐닝 해보시는 것이 최선이라고 생각됩니다.



jtagserver.exe 프로세스는 무엇일까?


 어느샌가 jtagserver.exe라는 프로세스가 작업관리자에 보이기 시작했습니다. 학교 컴퓨터에도 이 프로세스를 찾아 볼 수 있었는데, 다른 친구들의 컴퓨터에서는 이 프로세스를 찾아 볼 수 없었습니다. 포털사이트에 검색을 해보아도 찾을 수 없는 이 프로세스의 정체는 무엇일까요?


jtagserver.exe

jtagserver.exe

 

* Altera의 Quartus II와 관련된 프로세스

 공통점을 찾아보니 전부 Quartus II라는 프로그램이 있었습니다. 그래서 Quartus II의 제작회사인 Altera( 알테라 )의 사이트를 뒤져서 이 프로세스의 정체를 알아내 보았습니다. Joint Test Action Group server ( jtagserver )는 Quartus II 버젼 2.0과 JTAG 응용프로그램사이의 하드웨어를 공유할 수 있도록 개발되었습니다. 쉽게 말하면, Quartus II 를 이용하여 실습용 보드에 프로그래밍을 할 때 동작하는 프로세스입니다. 

 알테라 JTAG 서버 서비스는 해당 머신( 실습 보드 )이 부팅되었을때 초기화되며, 해당 머신의 전원이 꺼졌을때 중지됩니다. Quartus II 소프트웨어가 작동중이지 않을 때에 JTAG와 관련된 응용프로그램이 작동되고 있을 수 있기 때문에 jtagserver.exe는 항상 동작하고 있습니다.

 만일 실습보드와 같은 하드웨어를 사용하지 않고 단순 Quartus II 만 사용하고 있을 경우에는 이 프로세스는 필요하지 않습니다. 이때 여러분은 이 프로세스를 종료하여도 무방합니다. 이 프로세스는 컴퓨터가 부팅되면 자동으로 시작되기 때문에 원하시면 자동 시작 기능을 종료 할 수도 있습니다.




* jtagserver.exe 자동 시작 해제하기


 1) 제어판을 들어갑니다.
 2) 관리프로그램을 선택합니다. 
 



 3) 서비스를 선택합니다.



4) Altera JTAG Server를 우클릭하여 중지를 선택합니다.( 혹은 속성에 들어가서 중지를 누르셔도 됩니다. )


5) 서비스 창을 종료하시면 jtagserver.exe의 자동 시작 해제가 됩니다.




알테라의 쿼터스사용자들이 Programmer 기능을 이용하여 VHDL 프로그램을 프로그래밍 할 때 사용하는 프로세스입니다. 집에서 보드 없이 VHDL만 하시는 분들이라면 없어도 되는 프로세스라고 판단됩니다.


주의. 비슷한 이름의 바이러스가 존재 할 수 있으므로 바이러스 검사는 필수적입니다.




csrss.exe 는 어떤 프로세스 일까?


마이크로 소프트 윈도우즈에서 Microsoft Client Server Runtime Server Subsystem은 csrss.exe를 이용하여 대다수의 그래픽 도구들을 관리합니다. csrss.exe는 윈도우즈 운영체제에 중요한 기능을 제공하고 있는 중요한 시스템 파일이며, 이 프로세스를 강제 종료하면 시스템이 다운되어 사용 할 수 없게 될 수도 있습니다.

 csrss.exe는 시스템 쓰레드의 생성과 삭제와 Win32 콘솔 윈도우를 제어, 16비트 가상머신을 처리합니다. 쓰레딩이라함은 하나의 응용프로그램이 여러개의 동시에 일어나는 태스크로 나뉘어진 작업의 가장 작은 단위입니다. 많은 쓰레드가 같은 자원을 공유하고 있는 상황에서 csrss.exe에 의해서 만들어진 쓰레드는 여타 다른 프로세스에 포함되어 있는 쓰레드와는 구별됩니다. Win32 콘솔은 텍스트로만 이루어진 윈도우를 의미합니다. 이 프로세스는 윈도우상에서 가상 16비트 MS-DOS를 처리하기도 힙니다.

 평상시 csrss.exe는 CPU를 많이 점유하지 않으며, 많이 점유해도 1~2% 내외의 리소스를 사용할 뿐, 얌정한 프로세스입니다. 이 프로세스의 점유율이 10%이상 올라간다면 문제가 발생한 것이므로, 즉시 바이러스 스캔 프로그램을 이용하여 바이러스 검사를 하시기 바랍니다.










conime.exe 는 뭐하는 프로세스일까?



 항상 작업관리자를 열어서 현재 실행되고 있는 프로세스를 보는 습관이 있습니다. 어느날엔가 갑자기 conime.exe라는 프로세스가 있는 것을 보았습니다. 이 녀석은 자주 실행되는 것은 아니지만 가끔 실행 프로세스 목록에 나타나곤 합니다. 이 녀석은 어떤 역할을 담당하면 강제 종료해도 되는 녀석일까요? conime.exe에 대해서 알아 보도록하겠습니다.


* 콘솔에서 입력할 때 사용되는 conime.exe 

 conime.exe는 마이크로소프트 윈도우즈 운영체제의 한 부분으로 주로 아시아 계열의 언어를 콘솔에 입력 할 때에 쓰입니다. [시작] -> [실행] -> cmd 입력을 하거나 Alt + R 후 cmd 입력을 하여 커멘드 창을 열어서 한글을 입력해 보도록 합니다.




 하지만 문제는 콘솔 입력창을 종료하여도 conime.exe가 실행된 채로 존재하는 경우가 있다는 것입니다. 쓸모 없이 존재 할 수 있다는 것이지요. 이럴때는 그냥 프로세스 끝내기를 이용하여 강제 종료 시켜 주시면 됩니다. 하지만 이로 인해서 큰 문제가 발생하는 경우는 드물기 때문에 저는 크게 버벅대지 않는한 그냥 내버려 두는 편입니다.


* conime.exe를 없애 보자.

 하지만 커멘드 창에서 작업을 하지 않으시는 분들은 이 conime.exe가 불필요 하실 겁니다. 그런 분들을 위해서 conime.exe를 제거하는 방법을 알려드리겠습니다.

1) 레지스트리 편집기를 엽니다. ( [시작] -> [실행] -> regedit 입력 혹은 Alt + R 후 regedit입력 )





2) [HKEY_CURRENT_USER\Console]까지 찾아 갑니다.





3) "LoadConIme"라는 녀석의 DWORD 값을 새로 생성해서 값은 "0"으로 해줍니다.




 conime.exe 와 이름이 비슷한 웜이나 바이러스, 트로이안이 존재 할 수 있으므로 의심되시면 바로 검사를 하시기 바랍니다. conime.exe는 종료해도 커맨드 창이 실행되면 레지스트리 설정이 1일경우 다시 시작되므로 메모리가 아까우시면 강제 종료하셔도 다음 사용시에는 재 시작됩니다.






svchost.exe는 어떤 프로세스 일까?


윈도우즈 작업관리자를 켜서 현재 작동중인 프로세스들을 보면 svchost.exe라는 프로세스가 다수 존재하는 것을 볼 수 있습니다. 뭐지 몰라서 강제 종료를 할 경우 간혹 시스템 자체가 다운 되는 경우가 발생합니다. 이 svchost.exe에 대해서 알아보도록 하겠습니다.


* svchost.exe는 DLL 파일과 관련 된 프로세스이다.

svchost.exe는 DLL 파일을 관리하는 Win32 서비스들을 위한 일반적인 호스트 프로세스입니다.  다시 말해서 동적라이브러리( DLL 파일 )로 부터 실행되는 여러 프로세스들의 host 역할을 하는 프로그램으로 윈도우즈에서 실행되는 대부분의 프로그램을 호스팅합니다. 이 프로세스는 윈도우즈에서 필수적인 프로세스로 윈도우즈가 제대로 동작하기 위해서는 꼭 필요한 필수적인 프로세스입니다.

 운영체제가 점점더 복잡해 짐이 따라 Microsoft는 DLL( 동적 라이브러리 ) 인터페이스를 이용하여 복잡한 소프트웨어들을 구동하도록 했습니다. 하지만 DLL들은 그들 자신이 혼자서 구동 될 수 없고, 적어도 하나의 프로그램에 의해서 실행되어야 합니다. svchost.exe는 운영체제와 라이브러리 프로세스 사이에 연결다리 역할을 하게 됩니다. 

svchost.exe

작업관리자에서 많이 보이는 svchost.exe



 svchost.exe라는 파일을 통해서 동적라이브러리 ( DLL )들은 효과적으로  Win32 서비스들을 간단하게 이용할 수 있도록 호스팅할 수 있습니다. 이런 호스팅 동작에서 svchost.exe는 그 자신의 인스턴스를 여러개 생성할 수 있는데, 정상적인 경우 대부분 4개에서 8개의 svchost.exe가 동작하게 됩니다. 이렇게 여러개의 생성된 svchost.exe를 이용하므로써 운영체제의 보안과 안정성을 향상시킬 수 있습니다.

 만일 정상적으로 동작하는 svchost.exe 프로세스를 강제로 종료한다면, 경우에 따라서는 윈도우즈 운영체제 자체가 동작을 멈추에 재시작 동작에 들어 갈 수 도 있습니다.



* svchost.exe와 닮은 위험한 녀석들

svchost.exe는 운영체제 구동에 핵심적인 프로세스입니다. 이런 중요한 프로세스에는 항상 짝퉁이 존재하기 마련입니다. 가장 많이 본 짝퉁은 바로 svhost.exe입니다. 이 녀석은 트로이안 바이러스 일 수도 있고, 웜일 수도 있습니다. svchost.exe라는 풀네임이 아니라면 바이러스 일 가능성이 높기 때문에 당장 중지하시기 바랍니다. 그리고 svchost.exe의 점유율이 비정상적으로 높을 경우에는 바이러스의 감염이 우려되므로, 백신프로그램을 사용하여 검색해 보시기 바랍니다.






spoolsv.exe는 뭘까?

 
가끔 컴퓨터가 버벅 댈 때에 작업 관리자 ( Ctrl + Alt + Del 혹은 Ctrl + Shift + ESC )를 켜면 spoolsv.exe라는 프로세스가 CPU점유율을 100% 가까이 차지하는 것을 볼 수 있습니다. spoolsv.exe에 대해서 모르시는 분들이라면, 강제 종료하기 쉽지 않기 때문에 버벅대는 불편함을 겪으 셨을 것입니다. 그럼 spoolsv.exe는 무엇일까요?


* spoolsv.exe는 프린터/팩스와 관련 프로세스이다.

 spoolsv.exe 파일은 윈도우즈 프린트 스풀러 서비스를 위한 프로세스로 프린팅 환경의 주요한 요소입니다. 다시말하면, 윈도우즈 운영체제에서 프린터를 사용 할 때 사용된다는 뜻입니다.  spoolsv.exe 파일은 여러분의 컴퓨터가 시작 될 떄, 초기화됩니다. 또 한, 여러분의 컴퓨터의 전원이 꺼질 때까지 인쇄 작업을 대기하며 백그라운드에서 동작합니다. 

 spoolsv.exe 프로세스는 데이터를 버퍼에 변환하여 저장하는 역할을 합니다. 인쇄작업을 할 때, 프린터가 데이터를 요구하면 spoolsv.exe는 버퍼에서 데이터를 회수하여 프린터로 보냅니다. spoolsv.exe가 버퍼에 데이터를 저장하는 동안, 사용자는 다른 작업을 수행 할 수 있습니다. spoolsv.exe 프로세스는 또한 인쇄작업 순서 관리에도 관여를 합니다. 이 프로세스를 통하여 사용자는 하나의 인쇄 작업이 끝날 때까지 기다려서 다른 인쇄작업을 하지 않아도 되는 편의를 누릴 수 있습니다.

 프린터가 사용 될 때, 프린트 스풀러 서비스나 spoolsv.exe가 작동 되게 되며 이 때, 윈도우즈 작업관리자의 프로세스 목록에 spoolsv.exe를 보실 수 있습니다. 만일 여러분들이 프린터를 사용하지 않는다면 이 프로세스를 강제 종료 하셔도 무방합니다. 


* spoolsv.exe라는 이름의 백도어

 spoolsv.exe라는 이름의 프로세스 중에 외부에서 여러분의 컴퓨터로 접속을 허용 할 수 있도록 내부에서 동조하도록 크래커 ( 해커 )에 의해서 고의적인 목적으로 심어진 백도어도 있습니다. C:\Windows\System32 경로 이외에 존재하는 spoolsv.exe는 백도어를 비롯한 여타 바이러스로 의심 되기 때문에 백신 프로그램으로 스캔해 보신후 제거하시기 바랍니다. 
 같은 이름의 백도어와 웜, 해킹툴이 존재하므로 조심하셔야 합니다.





작업관리자 ctfmon.exe의 정체는?


 작업관리자를 띄우면 ( Ctrl + Alt + Del  or  Ctrl + Shift + ESC ) ctfmon.exe라는 프로세스를 볼 수 있습니다. 이 녀석은 시작 프로그램에도 등록이 되어 있어서 시스템 시작시에 실행이 됩니다. ctfmon.exe를 시작 프로그램 목록에서 체크를 해제 하여도 다음 시스템 가동시에는 어김없이 설정이 되어 있습니다.

ctfmon.exe

msconfig로 본 시작 프로그램




* ctfmon.exe 은 무엇인가?

 ctfmon.exe 프로세스는 마이크로 소프트 오피스 패키지에 포함된 프로스세입니다. 이 프로세스는 Alternative User Input Text Input Processor ( TIP )와 마이크로소프트 오피스 XP 랭귀지 바 ( Microsoft Office XP Language Bar )를 활성화 시킵니다. 이 프로그램은 시스템에 필수적인 요소는 아니기 때문에 필요 없으신 분들은 제거 하셔도 됩니다. 하지만 ctfmon.exe를 제거 하시면 Microsoft Office 패키지가 정상적으로 작동하지 않을 수 있으므로 제거 하지 않으시는것을 추천합니다.

ctfmon.exe

ctfmon.exe 가 실행시키는 랭귀지바



* ctfmon.exe가 트로이안 바이러스라고?

 네, 동일한 이름의 트로이안 바이러스가 존재합니다. 만일 ctfmon.exe라는 프로세스가 두개 이상 로드가 되어 있거나 컴퓨터에 이상이 있다면 바이러스 스캐닝 프로그램을 이용하여 검사를 해보시기 바랍니다. 이 트로이안 바이러스는 여러분이 웹 브라우져로 인터넷을 돌아다닐때 로그인 정보와 패스워드 등을 가로 챌 수도 있으며, 특히 인터넷 뱅킹을 할 때에는 더욱더 위험합니다.


* ctfmon.exe의 짝퉁

 제가 어디선가 본 짝퉁 시리즈에는 T와 F의 소문자가 쉽게 구별하기 힘들다는 단점을 이용한 이름 짝퉁이 있었습니다. 즉, cttmon.exe나 cffmon.exe 같은 녀석들이 바로 그런 녀석들이죠. 또 ctmon.exe나 cfmon.exe와 같이 좀 허전한 녀석들도 있구요. 여기서 말하는 진짜는 ctfmon.exe 뿐이며, 이름마져도 같은 바이러스도 있기 때문에 의심이 가시면 안티 바이러스 프로그램으로 스캔해보시는게 좋습니다.


* ctfmon.exe 제거 하기

 "ctfmon.exe 따위 필요없어, 메모리가 아깝다." 라고 하시는 분들과 IE( Microsoft Internet Explorer )를 이용하여 입력을 할 때 가끔 한영 전환이 안되시는 분들을 위해서 ctfmon.exe를 제거하는 방법을 알려드리겠습니다. 일단 이 ctfmon.exe라는 녀석은 msconfig나 알약같은 프로그램을 이용해서 시작 프로그램에서 제외를 하여도 귀신같이 살아나서 실행되는 프로세스이기 때문에 몇가지 파일을 지워야 합니다.

 1. 현재 실행중인 모든 응용프로그램들을 종료 합니다.

 2. 작업관리자를 켜서 현재 실행 중인 ctfmon.exe를 강제 종료합니다. ( 작업관리자는 Ctrl + Alt + Del 이나 Ctrl + Shift + ESC를 누르시면 켜실 수 있습니다. )



3.  이제 msimtf.dll과  msctf.dll을 삭제 합니다. msimtf.dll -> msctf.dll 순으로 삭제해야 합니다. [시작]->[실행]( 혹은 윈도우키 + R )을 클릭하셔서 아리와 같이 차례대로 입력을 합니다.




4. [시작]->[실행]을 클릭하시고 msconfig를 입력하시고 확인 버튼을 누릅니다. 시작프로그램 탭에서 ctfmon.exe 를 체크 해제 하시고 확인을 누른후 재부팅 해줍니다.

5. 재부팅 후 ctfmon.exe라는 프로세스가 실행되고 있지 않으면 제거가 성공한 것입니다.



ctfmon.exe는 동일 이름의 트로이안 바이러스도 있기 때문에 유의 해야 합니다. ctfmon.exe는 큰 문제는 없지만 쓸모도 없는 프로세스라는 평이 있습니다. 오히려 장점보다는 단점이 많다는 얘긴데, 가끔 다름 프로그램과 충돌을 하기도 한다더군요. 이상이 없으신 분들이라면 제거하지 않으시고 가만히 두셔도 무방하지만 자꾸 충돌과 같은 문제를 일으킨다면 제거 하셔서 원활한 컴퓨터 사용을 도모하셔야 할 것입니다.

 그래도 원활한 사용이 어려우시다면 백신을 이용해서 PC를 검사해 보시기 바랍니다.





alg.exe 이 녀석은 뭘까?


 작업 관리자에 alg.exe라는 녀석이 있는 것을 볼 수 있습니다. alg.exe는 정확하게 무슨 일을 하는 프로세스 일까요?


* alg.exe란 무엇일까?

 alg.exe는 Application Layer Gateway Service를 의미합니다. alg.exe는 대부분 보안과 관련된 프로세스입니다. FTP나 RTSP와 같은 응용프로그램들이 클라이언트 컴퓨터에서 서버의 알려진 포트와 통신을 할 때, 수동 TCP/UDP 포트를 동적으로 사용가능 할 수 있도록 해주는 역할을 합니다. alg.exe는 한 컴퓨터의 소프트웨어가 방화벽이 존재 할 수도 있는 다른 컴퓨터에 존재하는 응용프로그램에 접근 할 수 있도록 해줍니다.

 만일 어떤 이유로 alg.exe 프로세스가 동작하지 않는다면, 보안 프로토콜은 통신포트를 막아버리거나 네트워크상에서 고의적으로 방화벽을 해꼬지 할 수 있어, 잠재적인 보안상의 문제를 야기 시킵니다.

 윈도우즈에서 방화벽 사용을 안하도록 설정을 해 놓았다면, alg.exe는 뜨지 않을 것입니다. 하지만 보안상 alg.exe는 활성화 되어 있는 것이 좋으며, 의도적으로 끄지 않기를 권장합니다.




* alg.exe와 유사한 바이러스

 alg.exe는 방화벽과 관련된 프로세스입니다. 대부분 윈도우즈의 기본 설정은 방화벽을 사용하도록 되어 있기 때문에  alg.exe프로세스는 활성화 되어 있을 것입니다. 정상적인 alg.exe는 사용자가 LOCAL SERVICE이므로 소유주가 이외의 것으로 되어 있다면 문제가 있음을 의심해 보아야 할 것입니다.




 항상 보안을 말씀드리지만 alg.exe는 방화벽과 관련된 프로세스이므로 특별한 문제가 없으시다면 강제 종료나 alg.exe 파일을 삭제하는 행위는 하지 않으셨으면 합니다.






taskmgr.exe 이 녀석은 뭘까?

 
 Ctrl + Alt + Del를 눌러 윈도우즈 작업 관리자를 켜면 항상 taskmgr.exe 라는 프로세스가  켜져 있는 것을 볼 수 있습니다. 신경쓰이는 taskmgr.exe 혹시 바이러스가 아닐까 생각해 보신 분들도 적지 않을 것입니다. 하지만 안심하십시오. taskmgr.exe는 의심스러운 프로스세가 아닙니다.


* taskmgr.exe 란?

 taskmgr.exe 프로세스는 윈도우 작업 관리자를 실행 시키는 파일입니다. taskmgr.exe가 실행 될 때, 여러분의 컴퓨터에서 실행되고 있는 프로세스와 프로그램에 대한 정보들을 표시해 주는 역할을 합니다. 현재 사용중인 응용 프로그램의 이름과 상태를 표현해주며, 현재 시스템에서 가동중인 프로세스의 이름과 사용자 이름, CPU 점유율과 메모리 사용과 같은 프로세스의 주요 정보를 표시하여 사용자가 시스템 운영에 좀더 쉽게 관여 할 수 있도록 합니다. 


Windows 작업 관리자

taskmgr.exe의 정체는? Windows 작업 관리자



  또한 윈도우즈 작업 관리자 ( Windows Task Manager )는 현재 사용중인 컴퓨터의 성능에 대한 정보도 제공합니다. CPU의 성능이 전체의 몇 %를 사용중인지 에 대한 정보를 그래프와 함께 제공하고, 페이지 파일 ( PF )사용이나 메모리에 대한 정보까지 제공합니다. 다시말해서, 지금 여러분의 컴퓨터 상태를 개략적으로 보여주는 프로세스입니다. 행여나 실수라도 이 파일을 지우시지 말기를 바랍니다. 윈도우가 정상적으로 작동하기 위해서는 필수적인 파일이기 때문에 실수로 지우셨거나 바이러스에 의해서 손상을 입으셨으면 다시 다운을 받아야 합니다.


* 바이러스 의심?

 최근들어 윈도우즈를 가동하는데에 필수적인 프로세스의 이름과 비슷한 이름의 바이러스들이 많이 퍼지는 것을 볼 수 있습니다. taskmgr.exe도 어딘가에는 유사 바이러스가 존재 할 수 있습니다. taskmgr.exe와 비슷한 이름이 있을 경우 다시 자세히 보시고, taskmgl.exe와 같은 짝퉁이 있다면 종료 하시고 바이러스 스캔 프로그램을 이용하여 바이러스 검사를 해보시기 바랍니다.



다시한번 말하지만 백신프로그램의 습관적인 사용은 개인정보 유출 방지와 컴퓨터 사용에 윤활제 역할을 합니다. 실시간 감지라도 켜두시고 컴퓨터를 사용하는 습관을 키웁시다!!

+ Recent posts