2011. 5. 31. 14:26
728x90
svchost.exe 파일에 그룹화된 악성코드, 스파이웨어 사용주의
작성자 : windowexe
svchost.exe 파일은 여러개의 시스템 라이브러리파일(dll)을 그룹화해서 하나의 서비스로 실행되는 핵심프로세스입니다.
악성코드를 시스템에 심어놓는 수법이 점점 지능화 되어가고 있습니다.
시작프로그램에 등록하는것도 모자라 제어판 - 관리도구 - 서비스에 등록해 놓습니다.
파일명을 svchost.exe로 등록하던지, 시스템 디렉토리에 dll 파일을 만들어 svchost.exe파일에 그룹화하여 전혀 찾을수 없게 악성코드 및 인터넷 검색도우미를 서비스에 심어놓고 있으니 블로그 또는 웹사이트의 첨부파일 실행시 주의하시기 바랍니다.
또한 svchost.exe 파일에 그룹화된 dll파일은 파라미터값을 레지스트리에서 찾지 않는 이상 어떤 파일이 로드되었는지 윈도우 상에서는 전혀 알 수 없습니다.
등록된 시스템 서비스 services.exe, svchost.exe, ****.dll 파일속성을 보면 제작사가 마이크로소프트로 표시되어 있는데 모두 허위정보입니다.
관리도구 - 서비스 목록에서도 마이크로소프트사의 서비스와 비슷한 이름으로 등록되니 주의하시기 바랍니다.
이러한 서비스들은 대부분 스파이웨어인 경우가 많으며, 백그라운드로 몰래 악성코드를 설치하거나 사용자 아이디 및 비밀번호를 모니터하는 목적으로 사용될 수도 있습니다.
브라우저 좌측에 툴바형식의 스폰서링크가 표시되는 인터넷 검색도우미 및 제휴사 쇼핑몰의 리워드 서비스도 이런방식으로 교묘하게 시스템에 등록되고 있습니다.
특정 프로그램 설치시 스폰서 프로그램으로 딸려오는 프로그램의 약관을 자세히 파악한후 필요하지 않은 프로그램은 체크를 해제한후 설치하세요.
체크박스가 없는경우엔 프로그램명을 기억해 두었다가 제어판에서 프로그램을 삭제하세요.
자동결제(월정액제)를 요구하는 프로그램을 사용할시에는 프로그램을 삭제해도 자동결제가 계속 이루어지므로 주의하시기 바랍니다.
(MP3 다운로드 사이트, SMS문자전송 사이트, 백신프로그램, 악성코드 삭제 등등..)
svchost.exe 프로세스에 종속된 dll 파일은 WindowexeSystemLog 프로그램으로 출력할 수 있습니다.
WindowexeSystemLog
http://windowexe.tistory.com/262
728x90
'시스템 해킹' 카테고리의 다른 글
Virtual KD와 Windbg를 이용한 커널 디버깅 (0) | 2011.07.12 |
---|---|
Visual Studio 2010 + WDK환경을 위한 ddkbuild 사용 방법 (2) | 2011.07.12 |
모니터링을 위한 참고 자료들 (0) | 2011.06.10 |
2009/04/20 SSDT Hooking 의 이해 (2) (0) | 2011.06.02 |
LUEVELSMEYER의 PE 레퍼런스 (0) | 2010.08.04 |