보통 스파이웨어는 리부팅후에도 자동으로 실행이 되도록 설정이 됩니다. 따라서 자동 실행(Auto Start)되는 환경설정 파일들만 제대로 점검하면 스파이웨어 감염 및 제거를 용이하게 할 수 있습니다.
보통 Auto Start시키는 설정은 다음과 같습니다. 여기에서 예제 스파이웨어 파일명을 malware.exe로 가정해 보겠습니다.
1) win.ini 파일에서 다음과 같이 설치됩니다
[winodws]
load = malware.exe
run = malware.exe
2) system.ini 파일에서 다음과 같이 추가됩니다.
[boot]
Shell = explorer.exe malware.exe
3) Autoexec.bat 파일에서
%windir%system32% 디렉터리 밑에 malware.exe
4) Registry Shell Open
[HKEY_CLASS_ROOT/exefile/shell/open/command]
[HKEY_LOCAL_MACHINE/Software/Classes/exefile/shell/open/command]
"malware.exe %1 %*" 요런식으로 값이 들어가 있습니다.
5) Alternative Registry Keys
[HKEY_CLASSES_ROOT.exe] @="myexefile"]
[HKEY_LOCAL_MACHINE/Software/Classes/myexefile/shell/open/command@="malware.exe %1 %*"]
winstart.bat
6) Main 레지스트리에 등록되는 경우
[HKEY_LOCAL_MACHINE/SoftwareMicrosoft/Windows/CurrentVersion/RunServices]
[HKEY_LOCAL_MACHINE/SoftwareMicrosoft/Windows/CurrentVersion/RunServicesOnce]
[HKEY_LOCAL_MACHINE/SoftwareMicrosoft/Windows/CurrenVersion/Run]
6) wininit.ini 에 혹시 등록되어 있는 프로그램이 없는지 확인
영삼넷
Categories
Recent Posts
Recent Comments
Statistics
- Total Visitors:
- 422784
- Today:
- 6843776
- Yesterday:
- 9758188
IT강국 김영삼 블로그에 오신걸 진심으로 환영합니다.
©2002 영삼넷 // openkr
©2002 영삼넷 // openkr