PC 수리일지 사건번호 004(2). CloudNet 악성프로그램 제거
안녕하세욤
옴닉맨입니다.
오늘은 PC 수리일지 사건번호 004에서 다루었던 CloudNet 악성프로그램 제거에 관해서 미숙한 점(재부팅 후에 완전히 삭제되지 않고 계속 생성되는 현상)을 보완하려고
사건번호 004(2)를 제작하게 되었습니다.
사건번호 004(2) : CloudNet
감염 여부 확인은 제어판에서나
작업관리자 속 프로세스 상에서 CloudNet win 32 * 이름을 통해 확인할 수 있습니다.
감염 경로는 인터넷에서 제공되는 플러그인과 함께 무료 프로그램, 툴바 및 확장 프로그램을 다운로드 할 때 설치됩니다.
추적 후 확인 결과
1. 레지스트리 편집기 상에
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run에 CloudNet으로 존재
2. C:\Users\(사용자)\AppData\Roaming 상에서 EpicNet Inc라는 폴더 안에 존재
3. C:\Users\(사용자)\AppData\Local\Temp\csrss 상에서 'Cloudnet.exe'라는 형태로 존재
-> 코드 Gen:Variant.Razy.553929
4. 부가적으로 C:\Users\(사용자)\AppData\Local\Temp\csrss 상에 'profile-6.exe'라는
악성 프로그램도 같이 따라온다.
-> 코드 Trojan.Agent.Tiggre
추가적으로 사건번호 004 CloudNet과 다른 해결 방안은 아래 순서에 따른다.
1. 제어판에서 의심되는 프로그램을 삭제한다.
2. 기존에 있던 Internet Explorer(및 Edge)를 포함해서 Chrome은 남겨두고 나머지 인터넷 프로그램을 제거한다.
이 과정은 사실 다른 인터넷 프로그램도 초기화를 해줘도 되지만 최소화를 유지하려는 전략이다
(ex) Firefox, Whale
3. 크롬을 기본 브라우저로 사용하는 분들은 Chrome 맞춤 설정 및 제어에 들어간다.
4. 왼쪽 상단에 삼단 바를 누르고 -> 재설정 및 정리하기 -> 설정을 기본값으로 복원
5. '도구 더보기' -> '확장 프로그램'에 들어가서 목록 전체를 삭제
6. Malzero 프로그램을 다운 받는다.
7. 컴퓨터 바탕화면에 몇 개의 창을 띄운다.
(1) 작업관리자
(2) C:\Users\(사용자)\AppData\Local\Temp\csrss
(3) C:\Users\(사용자)\AppData\Roaming
8. 먼저 작업관리자에 프로세스 상에서 CloudNet 프로그램의 프로세스를 종료 -> C:\Users\(사용자)\AppData\Local\Temp\csrss 상에서 CloudNet.exe 및 Profile-6.exe 프로그램 삭제 -> C:\Users\(사용자)\AppData\Roaming
상에 EpicNet Inc 폴더를 삭제
9. 압축 해제된 Malzero 폴더에서 start(start.bat) 응용 프로그램을 우클릭 후 '관리자 권한으로 실행'을 진행한다.
이 놈 생각보다 정말 질긴 놈이었는데
이번에는 완전히 삭제가 된 듯 하다.