일상의 단편 Ctrl+Alt+Delete 작업관리자 먹통 2011/12/26 12:01 by 오오카미


주말에 컴퓨터를 사용하다가 이상한 증상에 직면했다.
Windows 작업관리자(Task Manager) 창이 뜨지 않는 것이다.
컴퓨터를 재부팅했더니 부팅 후에 사용하고 있는 백신프로그램
Avast가 위의 사진과 같은 위험신호를 알려왔다.

작업관리자란 현재 사용하고 있는 응용프로그램과 프로세스 등을 확인할 수 있는 프로그램이다. 
사용하고 있던 프로그램에서 응답없음 상태가 발생했을 때
작업관리자를 실행시켜 해당 프로그램을 강제 종료할 때 자주 사용되고
또한 필요없는 프로세스나 바이러스, 멀웨어 등이 실행되고 있는가를 확인할 때도 유용한 프로그램이다.

작업관리자를 실행시키는 방법은 크게 3가지가 있다.
1. 단축키인 Ctrl + Alt + Delete 키를 눌러서 실행시키는 법.

2. 모니터 하단의 작업표시줄(Task Bar)의 빈 곳 위에서 마우스 우클릭 후 작업관리자 클릭하여 실행시키는 법.
3. 모니터 하단 좌측의 시작 버튼 클릭 후 실행에서 taskmgr 입력하여 실행시키는 법.

이 3가지 방법으로도 작업관리자가 실행되지 않는다면 멀웨어(악성코드)에 감염되어 있을 가능성이 높다.
작업관리자 실행을 차단하는 이 멀웨어는 svohcst.exe 라는 이름이었고
mome.exe라는 또 다른 멀웨어를 다운로드받게 하여
온라인 게임사이트와 온라인 상품권 사이트 등의 계정 정보를 수집하는 악랄한 놈이었다.
이름 자체도 윈도우 구동에 필요한 정상적인 프로세서 svchost.exe의 이름을 유사하게 모방하고 있다.

아마도 Avast가 svohcst.exe의 감염은 막지 못했지만
mome.exe가 추가로 다운로드되려는 것을 감지하여 차단한 듯했다.
아쉽게도 Avast로는 실행되고 있는 svohcst.exe의 제거는 불가능했다.

작업관리자를 실행할 수 없는 상태이므로
같은 기능을 갖추고 있는 다른 프로그램 Process Explorer을 사용하여
실행 중인 svohcst.exe를 강제종료시킨 후 이 멀웨어를 탐색기에서 찾아서 삭제하는 방법으로 치료가 가능했다. 

Process Explorer Process Explorer 다운로드 링크

그러나 이 멀웨어의 정체를 파악하는 과정이 쉽지는 않았다. 
왜냐하면 svohcst라는 이 악질적인 멀웨어는 자신의 정체를 폭로하고 있는 
몇몇 사이트들에 접속하는 것도 차단하는 기능을 갖추고 있었기 때문이다. 
Avast의 위험경고 화면에서 더 상세히 버튼을 클릭하면 연결되는 화면도 강제로 닫아 버렸고 
치료법을 소개하고 있는 아래 링크의 주소도 강제로 닫아 버렸다. 

결국 네이버 지식인에서 아래에 소개한 블로그에 기재되어 있는 내용대로의 해결법을 알게 되어
Process Explorer를 다운받아서 실행시키고 svohcst.exe를 종료시키고 나니 그제서야 작업관리자가 제대로 실행이 되었다.



아래 내용의 출처는 울지않는 벌새님의 포스트 http://hummingbird.tistory.com/3400 입니다.

최근 Adobe Flash Player, Internet Explorer 웹 브라우저 취약점을 이용한 악성코드 감염 행위 중 가상 환경(VMware, Oracle VM VirturalBox)에서는 동작하지 않는 Anti-VM 기법이 포함된 악성코드 유포 행위를 확인하였습니다.


참고로 위와 같은 가상환경에서의 분석을 방해할 목적으로 배포되는 행위는 이전부터 종종 발견되었다고 하며, 개인적으로는 그동안 잘 피해 다니다가 이제서야 실제 보게 되었습니다.


취약점을 이용한 악성 스크립트를 통해 최종적으로 다운로드된 파일(MD5 : f4813d8a2761591ed4e1c07f1f6eedfb)은 중국 소프트웨어 업체에서 발행한 "Zhuhai  Kingsoft Software Co.,Ltd" 유효하지 않은 디지털 인증서로 위장하고 있는 것을 확인할 수 있습니다.

참고로 해당 파일에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Trojan/Win32.Nbcss (VirusTotal : 23/42) 진단명으로 진단되고 있습니다.

  • h*-p://www.daum*-.com:*-*-/mome.exe

해당 악성 파일은 다음(Daum) 도메인과 유사하게 등록된 미국(USA)에 위치한 특정 서버로부터 mome.exe(MD5 : 3ee55db07f7178ecd50b695e54bcc139) 파일을 다운로드하여 다수의 악성 파일을 생성하며, 해당 파일에 AhnLab V3 보안 제품에서는 Dropper/Win32.OnlineGameHack (VirusTotal : 20/42) 진단명으로 진단되고 있습니다.

[생성 폴더(파일) 및 진단 정보]

C:\(폴더)\svohcst.exe :: 숨김(H) 속성 / 최종 파일 자가 복제
 - MD5 : f4813d8a2761591ed4e1c07f1f6eedfb
 - AhnLab V3 : Trojan/Win32.Nbcss (VirusTotal : 23/42)
※ 해당 파일은 시스템 폴더 등 특정 폴더에 위치할 것으로 추정됩니다.

C:\dn :: 숨김(H) 속성
C:\dn\svohcst.exe
 - MD5 : 12ec4643afdbfef7efbf3129c2f0a3ee
 - Hauri ViRobot : Trojan.Win32.PSWIGames.247296.N (VirusTotal : 17/42)

C:\dnf :: 숨김(H) 속성
C:\dnf\_dnf.dll
 - MD5 : 033d7aab6e3ed0c6743dd11d8df3c359
 - AhnLab V3 : Win-Trojan/Onlinegamehack.627712.C (VirusTotal : 13/42)

C:\dnf\svohcst.exe
 - MD5 : 8b7bae811db2c0f7dbb78828da78bbca
 - AhnLab V3 : Dropper/OnlineGameHack18.Gen (VirusTotal : 20/42)

C:\fzgd :: 숨김(H) 속성
C:\fzgd\_fzgd.dll
 - MD5 : 602e9f12a73fcbe2882561c02720f0b8
 - Kaspersky : Trojan-GameThief.Win32.OnLineGames.bohk (VirusTotal : 6/42)

C:\fzgd\svohcst.exe
 - MD5 : 1d85b6384ee37484801318dd414f4ced
 - Microsoft : PWS:Win32/OnLineGames.LE (VirusTotal : 21/42)

C:\js :: 숨김(H) 속성
C:\js\svohcst.exe
 - MD5 : b28e38210a94517e8c18e25b0b8c609a
 - Hauri ViRobot : Trojan.Win32.PSWIGames.12800.GZ (VirusTotal : 24/42)

C:\lq :: 숨김(H) 속성
C:\lq\svohcst.exe
 - MD5 : 264ffb183ac37fe80c0370f50a042559
 - AhnLab V3 : Dropper/OnlineGameHack18.Gen (VirusTotal : 21/42)

C:\mone :: 숨김(H) 속성
C:\mone\svohcst.exe
 - MD5 : dadb3f470aba2b21b193f83e3d9b04b0
 - AhnLab V3 : Dropper/OnlineGameHack18.Gen (VirusTotal : 17/42)

C:\mxd :: 숨김(H) 속성
C:\mxd\svohcst.exe
 - MD5 : 1d837285e9cd7a4f665540c0a787d1d6
 - Hauri ViRobot : Trojan.Win32.PSWIGames.19456.GI (VirusTotal : 20/42)

C:\tt :: 숨김(H) 속성
C:\tt\svohcst.exe
 - MD5 : 3d9d385076f7869ea1fc0f7f35de1264
 - Hauri ViRobot : Dropper.Agent.296448 (VirusTotal : 21/41)

C:\WINDOWS\system32\mone2.exe
 - MD5 : 837b9c87adee6db16f70cd7bfde4ee6b
 - AhnLab V3 : Trojan/Win32.OnlineGameHack (VirusTotal : 7/42)

C:\wow :: 숨김(H) 속성
C:\wow\svohcst.exe
 - MD5 : 46a3950c2d03d492c60cb29eac7dc572
 - Hauri ViRobot : Trojan.Win32.PSWIGames.12800.HA (VirusTotal : 25/42)


감염을 통해 생성된 폴더는 모두 읽기(R) 전용, 숨김(H) 속성을 가지고 있으므로, 폴더 옵션에서 [보호된 운영 체제 파일 숨기기] 항목 체크 해제 및 [숨김 파일 및 폴더 표시]에 체크를 하시고 폴더(파일)를 확인하시기 바랍니다.

우선적으로 해당 악성코드에 감염된 PC에서는 ① Windows 작업 관리자 실행 불가 ② 일부 온라인 스캐너 웹 사이트(바이러스토탈(VirusTotal), VirScan.org) 접속 불가(※ 접속시 웹 브라우저 종료 현상 발생) ③ AhnLab V3, 알약(ALYac), 네이버 백신(Naver Vaccine) 보안 제품 무력화 문제가 발생되는 것을 확인할 수 있습니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - Download = C:\(폴더)\svohcst.exe


감염된 PC는 Windows 시작시마다 svohcst.exe(MD5 : f4813d8a2761591ed4e1c07f1f6eedfb) 파일을 시작 프로그램으로 등록하여 자동 실행되어 메모리에 상주하며, Windows 작업 관리자 실행 차단, mome.exe 다운로드를 통한 재감염, 특정 보안 제품 무력화 기능을 수행합니다.

Windows 작업 관리자가 동작하지 않는 관계로 Process Explorer 툴을 이용하여 프로세스 정보를 확인해보면 다수의 svohcst.exe 프로세스가 생성되어 있는 것을 확인할 수 있습니다.

이는 과거의 유포 사례에서도 비슷한 방식으로 감염을 시켰던 적이 있으므로 참고하시기 바라며, 일반 사용자 입장에서는 정상적인 [C:\WINDOWS\system32\svchost.exe] 프로세스로 착각할 수 있습니다.

svohcst.exe 프로세스 중에서 [C:\(폴더)\svohcst.exe] 프로세스(※ 노란색 동그라미)를 주목해 볼 필요가 있는데, 해당 프로세스는 다른 svohcst.exe 프로세스와는 다르게 CPU 사용량이 계속적으로 찍히는 동작이 이루어집니다.

CPU 사용량이 높게 표시되는 이유는 주기적으로 svohcst.exe 프로세스가 AhnLab V3, 알약(ALYac), 네이버 백신(Naver Vaccine)을 체크하여 감염된 상태에서 설치(동작)를 하지 못하도록 방해하기 때문입니다.

감염된 환경에서는 한게임(Hangame), 넷마블(NetMarble), 피망(PMang), 넥슨(Nexon) 등 온라인 게임 사이트 계정 정보와 컬쳐랜드(CultureLand), 해피머니(HappyMoney)와 같은 온라인 문화 상품권 사이트 계정 정보를 수집하여 외부로 유출을 하고 있습니다.

테스트에서는 한게임 접속시 미국(USA)에 위치한 174.139.42.19 IP 서버로 아이디(ID), 비밀번호 정보가 유출되는 것을 확인할 수 있습니다.

현재 다수의 보안 제품을 통해 진단 및 치료가 가능하지만, 수동으로 문제 해결이 필요한 사용자는 다음과 같은 절차에 따라 문제를 해결하시기 바랍니다.(※ 모든 프로그램을 종료한 상태에서 진행하시길 권장합니다.)

1. Windows 작업 관리자 실행이 불가능한 문제로 반드시 Process Explorer 툴을 이용하여 [C:\(폴더)\svohcst.exe], mone2.exe 2개의 프로세스를 수동으로 종료하시기 바랍니다.

참고로 종료해야하는 svohcst.exe 프로세스는 위의 그림과 같이 CPU 사용량이 다른 svohcst.exe 프로세스와는 다르게 높게 표시되며, svohcst.exe 프로세스 종료로 인하여 Windows 작업 관리자 이용이 가능하게 됩니다.

2. Windows 작업 관리자를 실행하여 다음의 프로세스를 수동으로 모두 종료하시기 바랍니다.

참고로 프로세스 중 svchost.exe 정상 프로세스와 svohcst.exe 악성 프로세스 구분을 제대로 하시기 바랍니다.

3. 다음의 폴더(파일)을 수동으로 삭제하시기 바랍니다.(※ 해당 폴더와 파일 대다수는 폴더 옵션에서 수정을 해야지 보입니다.)

  • C:\(폴더)\svohcst.exe :: 해당 파일의 폴더 위치가 확인되지 않았으므로 검색을 통해 찾아서 삭제를 하시기 바랍니다.
  • C:\dn
  • C:\dn\svohcst.exe
  • C:\dnf
  • C:\dnf\_dnf.dll
  • C:\dnf\svohcst.exe
  • C:\fzgd
  • C:\fzgd\_fzgd.dll
  • C:\fzgd\svohcst.exe
  • C:\js
  • C:\js\svohcst.exe
  • C:\lq
  • C:\lq\svohcst.exe
  • C:\mone
  • C:\mone\svohcst.exe
  • C:\mxd
  • C:\mxd\svohcst.exe
  • C:\tt
  • C:\tt\svohcst.exe
  • C:\WINDOWS\system32\mone2.exe
  • C:\wow
  • C:\wow\svohcst.exe

4. 레지스트리 편집기(regedit)를 실행하여 시작 프로그램에 등록된 값을 삭제하시기 바랍니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - Download = C:\(폴더)\svohcst.exe

모든 절차 후에는 국내외 유명 보안 제품을 이용하여 정밀 검사를 추가로 하시기 바라며, 해당 악성코드 감염 원인이 Windows 보안 업데이트와 Adobe Flash Player 최신 버전을 제대로 적용하지 않은 상태로 인터넷을 이용하는 경우 감염되므로 반드시 최신 보안 업데이트를 체크하시기 바랍니다.


덧글

  • 준짱 2011/12/26 13:08 # 삭제 답글

    크리스마스를 바이러스와 함께 열내며 보냈겠구나.ㅎㅎ
    그 바이러스 악질이네. 게임 계정을 수집한다니 너 한텐 컴퓨터에 절대 남겨둘 수 없는 놈이로구나.^^
    날씨가 추워서 통 밖에 못 나가고 있다. 남은 연말 잘 보내렴~
  • 오오카미 2011/12/27 01:34 #

    크리스마스 이브에 치료했으니까 크리스마스를 함께 보내진 않았다. ^^
    언제쯤 되어야 연인과 함께 크리스마스를 보내려나... ㅎㅎ
    날씨 추워졌어도 틈틈이 밖에 나와서 산책을 해 봐.
    영하의 날씨에 찬 바람이 불지만 겨울햇빛은 의외로 따사롭거든.
  • 하하하 2011/12/27 22:49 # 삭제 답글

    감사합니다,, 휴.. 저도 감염됐는데 님 글보고 다운받고 해결햇내요
  • 하하하 2011/12/27 23:09 # 삭제 답글

    삭제해도 부팅하면 다시 살아납니다.ㅠㅠ 완전 삭제가 안되나여ㅛ?
  • 오오카미 2011/12/28 00:53 #

    포스트에서 언급한 멀웨어는 시작프로그램에 자동등록되기 때문에
    해당 파일을 삭제하지 않으면 윈도우 부팅할 때마다 실행이 됩니다.
    Process Explorer로 실행되고 있는 svohcst.exe를 강제종료시킨 후
    탐색기에서 svohcst.exe 파일을 찾아서 삭제해야 합니다.
  • 하하하 2011/12/28 21:33 # 삭제 답글

    성공했습니다, ㅎㅎ ,, 감사합니다..
  • 오오카미 2011/12/29 03:32 #

    해결하셨다니 잘 됐네요. ^^
  • 난나다 2011/12/29 17:37 # 삭제 답글

    요 며칠 작업관리자가 안떠서 혹시나 했는데 역시나 악성코드였군요.

    위에 나온대로 해서 거의 잡았는데 하나가 말썽이네요.

    재부팅하면 실행 프로세스 목록에 뜨는데

    검색하면 안나오네요.

    어떻게 해야하나요?
  • 오오카미 2011/12/29 21:44 #

    실행 프로세스에 뜨는 문제의 파일이 무엇인지 알아야 답변이 가능할 것 같습니다.
    실행되고 있는 파일을 강제종료시킨 후
    탐색기의 도구-폴더옵션-보기 에서
    숨김 파일 및 폴더 에서 숨김 파일 및 폴더 표시에 체크하시고
    시스템 폴더 내용 표시에 체크하신 후
    Ctrl + F 를 눌러서 검색 창을 띄운 후
    모든 파일 및 폴더 검색으로 해당 파일을 찾은 후 삭제하셔야 할 것 같습니다.
    백신 프로그램으로 하드디스크를 체크하는 것도 잊으면 안되겠죠.
  • 호호호 2012/01/02 21:37 # 삭제 답글

    감사합니다^^ 드디어 고쳤어요!
    컴퓨터가 오래되서 말썽부리는 건줄 알았는데 이놈의 악성코드때문이었네요.
    저도 윗분처럼 검색해도 안나와서 답변하신대로 했는데 그래도 안나오더라구요ㅠ
    근데 보호된 운영체제 파일 숨기기(권장) 체크 해제하고 나서 검색하니까 10개나 나와서 정말 놀랬어요;;
    제 컴퓨터엔 위에 제시된 폴더들 외에도 C:rh, C:lqyxz, C:zq 이런 폴더들에도 svohcst 있었구요
    그리고 이놈이 정말 악질이라고 느낀건..
    폴더들을 shift+del로 지우다 실수로 하나 그냥 del했더니 20몇개나 복사가 되어가지구 다시 검색해서 지웠네요.
    이거 때문에 좀 찝찝하기는 한데 그래도 작업관리자가 실행이 되니까 괜찮은거겠죠??
    어쨌든 정말 감사합니다!
  • 오오카미 2012/01/02 23:14 #

    포스트 하단에 첨부한 울지않는 벌새님의 포스트 내용을 참고하여
    레지스트리에서도 svohcst 항목을 삭제하신 후
    백신 프로그램으로 정밀검사해보시면 보다 안전하게 사용하실 수 있을 거라 생각합니다. ^^
  • 2012/01/13 19:10 # 삭제 답글

    와 정말 감사합니다 ㅎ
  • 오오카미 2012/01/13 20:13 #

    시작프로그램이나 레지스트리에 남아 있을 수 있으니 꼼꼼히 치료하세요. ^^
  • 대략난감넌귤 2012/01/13 21:23 # 삭제 답글

    으아아아아아아아아
    감사합니다
    바탕화면에 떡 하니 자리잡고있는데 삭제도 안되고 미치겠고 백신쓰면 블루스크린 뜨게만들고 관련 사이트 알아서 차단돼서 가게 컴퓨터 이놈때문에 버리다시피 했는데 드디어 해결했네요...
  • 오오카미 2012/01/13 21:35 #

    시작프로그램과 레지스트리도 살펴 보는 것 잊지 마시구요. ^^
  • 이상하다 2012/04/30 21:07 # 삭제 답글

    저 네이버에서 검색해서 온 사람인데요 위에처럼 svchost가 악성코드처럼안나오고 전부 정상인데요 그건 괜찮다고 보자면 음..
    lsass에 감염이됬는지 메모리사용량이 원래 키자마자231mb정도였는데 두배로 뛰었네요 이거 3일째 백신하고 다 돌리면서 찾아내고있는데요 해결방법이 없네요 아시면 가르켜주세요 ㅠㅠㅠㅠㅠㅠ 네이버 메일 kq2430@naver.com 수시로 여기 들어올게요!
  • 오오카미 2012/05/01 00:05 #

    svchost 파일은 정상 파일입니다. svohcst가 악성코드이구요.
    Ctrl + Alt + Del 눌러서 작업관리자 실행되면 svohcst에 의한 문제는 아닙니다.
  • 이상하다 2012/05/24 18:54 # 삭제 답글

    그렇군요..ㅎ
  • 이상하다 2012/05/24 18:54 # 삭제 답글

    답글늦어서 죄송합니다 ㅎ//ㅜ
  • 어어 2012/07/23 15:06 # 삭제 답글

    mone2라는게 없으면 어떻게되는건가요 ㅠㅠㅠㅠ
  • 오오카미 2012/07/23 21:38 #

    없으면 신경 안 쓰셔도 됩니다. 위의 포스트에서 언급된 악성코드가 모든 PC에 동일하게 설치되는 건 아니니까요.
  • 순수한 2015/04/02 03:27 # 답글

    저는 작업관리자 킬때 단축키만 안되는데 무슨이유인지 알려주실수 있나요 혹시 기본 레지스트리 값이라도 알려주셔서 수정할 수 있게 해주셧으면 좋겟는데 ㅜㅜ
  • 오오카미 2015/04/04 10:18 #

    단축키 이외의 방법으로 작업관리자가 실행된다면 바이러스 때문은 아닌 것 같습니다.
    단순하게는 3개의 키 중 먹통인 키가 있을 수도 있겠습니다만.
댓글 입력 영역