win32/virut.O 바이러스 전용백신 사용기

저는 컴퓨터를 비롯한 어떤 물건이든 한번 구매를 하면 업그레이드나 수리가 더 이상 불가능하여 사용이 힘들어 질 때까지 사용하는 경향이 있어서, 저사양 컴퓨터에서 사용이 가능한 가볍우면서도 바이러스 검색 능력이 우수한 백신 프로그램을 찾다보니 NOD32 Anti-Virus의 버전 2부터 사용하고 있는 유저입니다.

현재는 ESET Smart Security 4를 사용하고 있는데, 이제는 백신 프로그램의 성능이나 이런 부분 보다는 오랜 기간 사용하다 보니 손에 익숙해진 사용자 환경 때문에 사용하고 있습니다. 그런데 ESET Smart Security 4가 컴퓨터 공유기를 통해 들어온 win32/virut.O 바이러스에 감염된 실행 파일을 모두 검역소로 보내버리는 만행을 저질러서, V3와 nProtect의 win32/virut 바이러스 전용백신을 사용한 사용기입니다.

사건의 발단은 ipTIME 공유기를 사용 중인데, 네트워크 설정에서 무선은 암호를 사용하지 않고 MAC 주소 인증을 사용하고, 내부 네트워크에서 설정된 IP/MAC 주소 통신만 허용하는 방식으로 유/무선 통신을 관리하고 있었습니다. 물론 공유기 관리자 ID와 암호도 4자리의 숫자로 된 것이기는 하지만 설정된 상태였습니다. 그런데 약 한달 전에 인터넷 속도가 너무 느려서 확인을 해보니, 모르는 MAC 주소가 2개나 등록되어 무선 통신을 사용하고 있었습니다. 여기서 모든 문제가 발생을 하는데, 무단으로 무선 통신을 사용하던 MAC 주소 2개를 차단하자 공유기에 침입 설정을 바꾸고 컴퓨터까지 침입하여 정체 모를 대용량 파일과 win32/virut.O 바이러스를 퍼트린 것입니다.

ESET Smart Security 4는 실시간 감시를 통해서 win32/virut.O 바이러스에 감염된 실행 파일을 발견 즉시 모두 검역소로 보내 버리고 있어서, 다른 백신을 사용하려고 해도 탐색기를 사용하여 연 폴더의 실행 파일이 win32/virut.O 바이러스에 감염되어 용량이 늘어났다가 ESET Smart Security 4의 실시간 감시에 의해서 검역소로 보내어지는 것이 눈으로 보이는지라 어찌할 방도도 없었습니다. 심지어는 윈도우 시스템 파일까지 검역소로 보내어지고 있는 상황이었습니다.

과거 논문 발표를 일주일 정도 앞두고 바이러스 때문에 모든 자료를 날려버리고 밤새워 자료를 다시 만들었던 뼈아픈 경험이 있었던 덕분에 윈도우가 설치된 하드 디스크 C 드라이브에는 자료나 개인적인 파일도 없기에, 심지어 즐겨찾기와 메일마저도 주기적으로 백업을 하고 있고 고스트로 이미지도 만들어둔 상태이지만, 바이러스가 치료되지 않은 상태에서 윈도우를 재설치하거나 복원한다고 해도 아무런 소용이 없을 것 같았습니다.

당시에는 윈도우 포럼에 가입한 상태가 아니라 도움을 청할 수도 없었습니다. 이 때 도움을 준 것이 포털 사이트에 지식인들이 올린 글 들이었습니다.

지식인들에 의하면 win32/virut.O 바이러스는 정보유출형으로 접속한 웹 호스트에서 트로이목마를 실행하고, 바이러스 특성이 모든 실행 파일을 감염 시키기 때문에 바이러스 백신 프로그램까지 감염되어 치료를 못하게 한다고 합니다.

지식인의 추천에 의해 받은 V3와 nProtect의 win32/virut 바이러스 전용백신은 아래에서 받을 수 있습니다.

V3의 win32/virut 바이러스 전용백신 (파일 이름 : v3virut.com)

https://download.ahnlab.com/vaccine/v3virut.com

nProtect의 win32/virut 바이러스 전용백신 (파일 이름 : nProtectEAVVirut.com)

https://www.nprotect.com/v5/cure_info/virut.html

두 가지 전용백신의 공통된 주의 사항은 다음과 같습니다.

1.     사용중인 백신 프로그램의 실시간 감시를 중지한 후 전용백신을 실행

2.     전용백신의 바이러스 검색 이후 전체치료 후 컴퓨터 재부팅

3.     컴퓨터 재부팅 후 전용백신을 이용 다시 바이러스 검색 및 치료

4.     바이러스 검출이 되지 않을 때까지 3, 4번 과정 반복

5.     재감염을 막기 위한 윈도우 보안 패치의 설치

주의 사항 중에 사용중인 백신 프로그램의 실시간 감시를 중지한 후 전용백신을 실행은 사용중인 백신 프로그램이 자기 방어 기능이 없을 경우 백신 프로그램까지 바이러스에 감염되는 문제 때문일 것이라고 생각해서, 사용중인 ESET Smart Security 4의 실시간 감시를 중지하지 않고 전용백신을 사용했다가 전용백신의 바이러스 검색이 이루어지는 중에 ESET Smart Security 4가 실시간 감시를 통해서 먼저 바이러스에 감염된 파일을 검역소로 보내버리는 문제가 발생했습니다. 역시 주의 사항은 지키라고 있는 것이므로 멋대로 판단하고 어길 것이 아닙니다.

ESET Smart Security 4의 실시간 감시를 중지하고, 바이러스에 감염된 파일들도 복원을 해놓고, V3와 nProtect의 win32/virut 바이러스 전용백신을 사용하여 바이러스 치료를 하였습니다.

일단 V3와 nProtect의 win32/virut 바이러스 전용백신의 성능을 모르기 때문에 하드 디스크의 전체를 검색 및 치료하지 않고, 일부만 검색 및 치료하여 보았습니다. 이 부분은 제 컴퓨터 사용 환경과 설치된 프로그램들의 상태에 국한된 제 개인적인 판단임을 먼저 밝힙니다. 그리고 바이러스 감염 당시 그림 캡쳐 또는 동영상 녹화를 못한 관계로 모두 기억에 의한 것 임도 밝힙니다.

먼저 바이러스 검색은 V3와 nProtect 전용백신 둘 다 하드 디스크 3개 총용량 720GB를 검색하여 1500개 정도의 감염된 파일을 검색했고, 검색 시간은 V3 전용백신은 2시간 30분 정도 소요되었고 nProtect 전용백신은 3시간 30분 정도가 소요되었습니다. 두 전용 백신을 동시에 실행 한 것은 아니고 하나씩 실행한 결과입니다.

1500개 정도의 감염된 파일을 두 전용백신이 검색하기는 했지만, nProtect 전용백신이 30개 정도 더 많이 검색을 하기는 했지만, 두 전용백신이 중복해서 감염된 파일을 감지한 것인지 1500가 넘는 감염 파일 항목을 일일이 확인할 수 없어서 검색된 감염 파일 숫자만으로 판단하여 유사한 성능을 가졌다고 보고 감염 파일 치료 성능를 비교하였습니다.

어느 한쪽의 전용 백신이 감염된 파일을 치료해버리면 다시 감염시킬 수도 없는 문제라 V3와 nProtect 전용백신의 바이러스 감염 파일의 우선순위 10개 파일만 치료를 비교를 하였습니다. 같은 파일을 비교한 것이 아니라 성능 부분은 오차가 많을 것으로 보이지만, V3 전용백신으로 치료된 10개의 파일은 감염 이전의 원상태로 치료가 된 것인지는 감염 이전의 파일 용량을 정확하게 모르므로 알 수 없지만 하나하나씩 실행하여 확인한 결과 실행상에도 문제가 없었고 ESET Smart Security 4로 검사하였을 때 감지되지도 않았다. nProtect 전용백신으로 치료된 10개의 파일은 4개의 파일이 실행되지 않았지만 ESET Smart Security 4로 검사하였을 때 감지되지는 않았습니다.

위의 결과에서 신뢰도는 많이 부족하지만 다른 대안이 없는 관계로 ESET Smart Security 4의 자가 보호 기능을 믿고 판단 기준으로 넣었습니다. 두 전용백신 모두 치료는 되지만 nProtect 전용백신 치료된 파일의 일부가 손상되는 것으로 보고, V3 전용백신으로 바이러스 검색 및 전체치료를 하고 nProtect 전용백신으로 한번 더 하는 것으로 했습니다.

다시 V3 전용백신으로 2시간 30분여를 검색하여 전체치료를 하고 nProtect 전용백신으로 전체검사를 하니 30여개의 파일만 감지되었는데, 앞의 검색 성능 비교에서 두 전용백신이 모두 1500여개의 감염 파일을 검색했지만 nProtect 전용백신이 30여개 정도 더 감지 했던 부분 같습니다.

컴퓨터를 재부팅 후 V3와 nProtect의 win32/virut 바이러스 전용백신으로 다시 한번 검색 하였을 때는 바이러스에 감염된 파일이 감지되는 것은 없었지만, ESET Smart Security 4를 사용하여 검사한 결과와 ESET Smart Security 4를 삭제 후 AVG, KASPERSKY, Norton 백신 프로그램을 사용한 검사한 결과에서도 아무 것도 걸리는 것은 없는 것으로 보아 두 전용백신으로 완벽히 치료된 것을 확인했습니다.

ESET Smart Security 4가 감염된 파일을 검역소에 모두 넣어버리는 문제가 있다면, 전용백신을 사용하지 않고 처음부터 AVG, KASPERSKY, Norton 등의 백신 프로그램을 사용하면 되지 않느냐고 하실 분도 계시겠지만 win32/virut.O 바이러스는 모든 실행 파일을 감염 시키는 바이러스라 백신 프로그램을 설치하는 중에 백신까지 감염시킬 것이고, 백신이 자기 방어 기능이 있더라도 설치 중에 감염이 된다면 소용이 없을 것으로 보았기 때문입니다.

재감염을 막기 위해 윈도우 보안패치를 설치하라는 부분은 윈도우 보안배치는 나올 때마다 바로 설치하기 때문에 건너뛰었습니다.

win32/virut.O 바이러스 침입으로부터 한 달이 경과한 현재의 상황을 말씀드리자면, ipTIME 공유기는 ID와 암호는 숫자가 아닌 것으로 교체하였고, 무선 암호는 AES 방식으로 8자리 이상으로 바꾸었고 펌웨어도 최신으로 업그레이드 했습니다. 바이러스가 침투했던 컴퓨터는 바이러스 재감염은 없었지만 바이러스가 감염되었던 파일이 바이러스가 치료되면서 미묘하게 차이가 발생한 것인 것 실행시 잦은 오류 발생으로 인해서 윈도우를 재설치 하였습니다.

윈도우를 재설치 하면서 기존에 사용하던 NORTON GHOST 15버전을 버리고 Rollback Rx 9.1 버전으로 바꾸어 순간백업, 순간복구라는 것을 하고 있습니다. Intel DP965LT 보드에 Intel Core 2 Duo E6320 CPU, 삼성 DDR2 1가가 메모리 4개를 사용 중인데 메모리를 하나만 설치한 상태에서 NORTON GHOST 부팅 CD로 부팅을 해서 복원을 하면 10분도 안걸리는데 메모리를 2개 이상 설치하면 NORTON GHOST 부팅 CD로 부팅을 하는데만 1시간도 넘게 걸리는 문제가 있어서, 고스트를 과감히 버리고 Rollback Rx로 과감히 넘어왔습니다.

Rollback Rx는 스냅샷 관리와 현재 시스템의 정보 수집 때문인지 부팅속도는 느려졌지만 어쩌다 한번씩 쓰는 프로그램이나 한번 쓰고 버려질 프로그램들은 설치, 사용 후 과감히 이전 상태로 돌릴 수 있어서 시스템이 깨끗한 상태로 유지되는지라 컴퓨터의 전반적인 사용 속도는 빨라졌습니다.

여전히 백신 프로그램은 ESET Smart Security 4를 사용하지만 바이러스에 감염 치료 불가 상황이 오면 언제라도 C 드라이브는 Rollback Rx를 통한 복구를 하고, 다른 드라이브들은 USB나 CD 부팅을 하여 치료가 가능하도록 미리 준비를 해놓았고 안되면 모두 하드를 초기화 해도 자료는 남도록 1테라 외장 하드를 구입 백업을 해놓았습니다.

역시 컴퓨터 바이러스는 치료보다 예방이 우선인 것 같습니다. 공유기의 관리자 암호 설정, 무선 인터넷의 암호화, 백신 프로그램의 실시간 감시와 웹 보호 기능 켜기 및 백신 최신 DB 업데이트는 생활화 하시기 바랍니다. 그리고 바이러스가 걸린 상태에서 백신이 제구실을 못할 경우 전용백신이라는 것도 있습니다. 또 평소에 ESET나 KASPERSKY의 Rescue Disk를 CD나 USB 부팅으로 준비해두거나 백신이 포함된 WINPE를 준비해 두는 것도 좋겠습니다.

그림 하나 없이 A4 4장 분량이나 되는 긴 글을 보아주셔서 감사 드립니다. 이런 글을 처음 써보는지라 장황하고 두서없는 부분이 많지만 양해해 주시기 바랍니다.