제대로 당했다.

오늘 유난히 PC가 느리고 인터넷 속도도 이상하게 느렸다. daum의 대용량메일로 파일 올리다보니 보통 100kb/는 나와줬는데 한 20~40kb/s에서 머물면서 올라가질 않았다. 혹시나 하고 프로세스를 봤더니 iroffer.exe가 떠있으면서 cpu를 계속 2~5%를 점유하고 있었다. 처음 보는 프로세스. 프로세스 죽이기를 시도했지만 억세스가 거부되었다면서 실패. F-Prot백신으로 검사해봤는데 바이러스 검출되지 않음. 쿠키나 스타트업 프로그램, IE 플러그인을 감시하기 위해 쓰고 있는 winpatrol에도 있는 프로세스 종료기능을 써봤는데 여기서도 실패. iroffer.exe와 같이 떠있는 프로그램중에 firedaemon.exe도 역시 프로그램 제작사나 버젼정보 아무것도 없이 매우 의심스러운 프로세스. 검색해 봤더니 응용프로그램을 NT/윈2K에서 서비스로 설치할 수 있는 프로그램이고 그 자체가 바이러스는 아니라고 한다.
일단 방화벽을 설치하고 리부팅해보니 역시나, 리부팅하지마자 바로 iroffer.exe가 인터넷 접속을 시도한다. 일단 차단시키고 위 사이트에서 본 방법대로 파이어대몬을 중단시키고 저 파일이 위치한 디렉토리를 찾아갔다. 하나 더 보여야되는 서브디렉토리가 안보이길래 폴더옵션중에서 “보호된 운영 시스템 파일 숨기기 (권장)”을 해제시키고 봤더니 그제서야 폴더가 나타난다. 으억.

hm dir files

뭐냐 이 파란만장한 파일들은… 로그파일부터 열어보니, 세상에 세상에. 나도 모르게 이넘들이 내 PC를 영화파일 저장소로 두고 해외 IRC(인터넷 릴레이 채팅)서버의 특정 대화방으로 연결시킨뒤 그 방에서 DCC라는 프로토콜로 열심히 영화파일을 중계하는데 쓰고 있었던 것이었다. 업로드 디렉토리를 보니,

upload dir files

약 2.5기가 정도의 영화파일이 들어가 있고 총 35기가바이트만큼을 전송해줬다는 로그가 남아있다. 아아 그래서 이렇게 인터넷이 느렸던 것이었구나. IRC프로그램으로 해당 서버에 접속해서 로그파일에 적혀있는 채널에 들어가보니 나와 같은 운명;;의 불쌍한 좀비들이 150여명 끌려와서 열심히 파일을 전송해주고 있었다. 크흑… ㅠ.ㅠ

대화방 스크린샷

결과적으로 볼때 파이어대몬이나 iroffer 자체는 바이러스가 아닌데, 이 두 놈을 사용자 모르게 뭔가에 담아서 퍼뜨린 뒤 실행해버리니 컴이랑 인터넷은 느려지는데 백신으로는 바이러스 검출이 안되는 … 난감한 상황에 처하게 된것이었다.

교훈 :
-선의의 프로그램도 의도에 따라 조합하면 충분히 악의적인 목적에 사용될 수 있다.
-거의 모든 바이러스,트로이,스파이,malware는 감염된 PC를 인터넷을 통해 제어 또는 이용하므로 방화벽을 통해 내/외부로부터의 접속을 시도하는 프로그램을 감시함으로써 악의적 프로그램의 동작여부를 감지할 수 있다.

6 Replies to “제대로 당했다.”

Comments are closed.