PC 수리일지 사건번호 004. CloudNet 악성프로그램 제거

제어판에서 마치 정상적인 프로그램인 마냥 숨어있다가 막상 지우려고 하면

시뻘건 독을 뿜어내는 CloudNet 악성프로그램

 

Cloud라는 단어와 Net이라는 단어를 넣어서 마치 정상적인 프로그램처럼 보이는 악성 프로그램 

안녕하세요

옴닉맨입니다. 

 

오늘 빈 강의장 PC 점검을 돌고 있는데 20자리 정도 되는 곳에서

동시 다발적으로 이 CloudNet이라는 놈을 발견하게 되었습니다.

제어판에 떡하니 나와있는데 '제거'를 하게 되면

CMD(명령 프롬프트)에 빨간 러시아어가 뜨면서 삭제가 진행되지 않더라구요;; (+0+)

 

아 그래서 옴닉맨 오늘은 다른 회사일을 제쳐두고 이 CloudNet 요놈을 지우는 방법을 골똘히 연구해 봤습니다.

 

CloudNet...

요즘 클라우드 라는 단어 많이 사용하는데요 

그래서 CloudNet이라고 교묘한 단어 선택을 통해서 마치 사용자로 하여금

(Hi~ 난 정상 프로그램이야 ㅎㅎ)

으로 생각하게 하여 잠복하고 있는 프로그램입니다.

 

보시다 싶이 검색 엔진에 CloudNet을 검색하면 이미 많이 나오고 있죠

그러나 제거 방법에 대해서는 정확한 방법을 제시하지는 않고 있더라구요.

 

일단 대충 파악한 이 CloudNet의 증상은 이렇습니다.

1. 특정 프로그램 설치에 붙어와서 설치되는 특성

2. 인터넷/컴퓨터 속도를 저하시키거나 지속적으로 인터넷 광고창(가끔 후방주의를 요하는)을 띄웁니다.

 

제거 방법에 대해서는 일단 이 프로그램의 위치를 찾는 것이 중요하곘죠?

저는 이 프로그램을 

C:\Users\(사용자이름)\AppData\Roaming에 EpicNet이라는 폴더에서 찾았습니다.

문제는 이 EpicNet이라는 폴더를 제거하려고 해도 사용중인 프로그램이 있다면서 삭제가 안된다는 점이죠

 

--__--;;

 

그래서 좀 더 원본적인 접근을 해봤습니다.

먼저 고클린을 이용해서 살짝 살펴봤는데

시작프로그램에 상주하고 있더라구요?

 

그러니까 컴퓨터가 켜지고 나서 일정시간이 흐르면 자동으로 실행이 되고 있었던 것입니다.

 

일단 시작 프로그램 목록에서 삭제를 진행했습니다.

그리고 나서 재부팅을 하니 결과는 마찬가지...

다시 튀어나오는 군요.

 

일단은 다시 한 번 시작 프로그램 목록에서 삭제를 진행한 후  C:\Users\(사용자이름)\AppData\Roaming 에 있는 EpicNet을 제거하려 시도했습니다만

여전히 사용중인 프로그램이 있다고 거부되었습니다.

 

(환장하겠군)

 

다음엔 좀 더 근본적인 문제점을 찾아 나섰습니다.

윈도우 키와 R을 같이 눌러서 실행창을 열어

'regedit'을 적어서 레지스트리 편집기로 들어갑니다.

 

1. HKEY_CURRENT_USER에 들어갑니다.

2. Software에 들어갑니다.

3. Microsoft에 들어갑니다.

4. Windows에 들어갑니다.

5. CurrentVersion에 들어갑니다.

6. Run에 들어가면

(까꿍 +0+)

모습을 들어내는 요망한 CloudNet 되겠습니다.

 

저는 일단 먼저 

마우스 우클릭 후 이진 값 편집을 통해서 값을 조정해서 프로그램을 변형시켜서 삭제를 진행했는데요

이진값 변경

만약에 그냥 우클릭 후 삭제 해도 된다면 추후에 수정하겠습니다.

일단 먼저 레지스트리 삭제를 진행하신 후에

바로 C:\Users\yoonj\AppData\Roaming에 EpicNet 폴더를 지우면 삭제가 진행됨을 알 수 있습니다.

 

제어판을 열어보시면 제 기능을 못하게 되는 CloudNet을 볼 수 있게 되는데요.

앞으로 CloudNet을 발견하게 된다면 이렇게 삭제를 진행해주셔도 될 것 같습니다.

 

추후에 어떤 특정 프로그램을 따라 같이 설치되는지 그것도 알아보고 포스팅 하도록 하겠습니다.

 

이상 옴닉맨이었습니다.