꽤 오래 전의 일이다. 아는 형한테 전화 한통화를 받았다. 자꾸 홈페이지가 Gohip.com으로 바뀐다는 것이었다. 홈페이지를 다른 곳으로 설정해도 자꾸 Gohip.com으로 바뀌기 때문에 무척 불편한 듯했다. 아마 이 Gohip.com이 내가 아는 최초의 악성코드였다. 아마 1996~7년 경이었기 때문에 이미 10년이 더된 이야기이다. 그래서 Gohip.com으로 홈페이지가 바뀌는 사람을 위해 홈페이지에 올린 글이 "GoHip 제거하기"였다.
꽤 오래 전의 일이다. 아는 형한테 전화 한통화를 받았다. 자꾸 홈페이지가 
FlashGet이 등록한 BHO 역시 스파이웨어로 잡아내고 있지만 FlashGet 비등록판의 경우 애드웨어이므로 논외로 하겠다.
그림에서 보면 알 수 있지만 자기 자신까지 잡아내는 아주 대단한 프로그램이 Ad-Spider였다. 물론 이 글은 2006년 6월에 작성된 글이기 때문에 요즘은 조금 바뀌었을 수도 있다. 그러나 프로그램의 개발사도 문제고 성능도 별로인 그런 프로그램이 바로 다잡아(Ad-Spider)였다.
다잡아(Ad-Spider)에 이어 사용해 본 프로그램이 바로 다간다였다. 일단 처음 사용했을 때 느낌은 다잡아(Ad-Spider)처럼 아무 것이나 다잡는 프로그램은 아니었다. 다만 이 프로그램은 악성코드를 잡아낸 뒤 해당 악성코드에 대한 정보를 제공하지 않기 때문에 과연 얼마나 신뢰성이 있는지는 판단하기 힘들었다. 그런데 이 프로그램에 대한 이미지가 나빠진 것은 닥터 바이러스처럼 바이러스만도 못한 악성코드 제거 도구에서는 다간다 엔진을 사용했기 때문이다. 아마 다간다(No-AD)측에서 생존을 위해 아무 업체나 개발을 해주었기 때문에 발생한 일인 것으로 여겨진다.
다음은 최고의 스파이웨어 제거 프로그램이라는 글을 작성하면서 다간다(No-AD), SpyDoctor, Dr.Virus의 파일을 비교한 것이다. 파일 목록을 보면 알 수 있지만 세프로그램 모두 파일 구성이 거의 비슷하다는 것을 알 수 있다. 또 파일 이름이 같은 경우 파일 크기 및 내용은 동일했다.
No-AD SpyDoctor DrVirus noad.cdv noad.cdv noad.cdv NoADE.dll NoADE.dll NoADE.dll[3] NoADM.dll NoADM.dll . NoADS.dll NoADS.dll NoADS.dll NoADU.dll NoADD.exe
NoADN.exe NoADU.dll SpOrder.Dll SpOrder.Dll SpOrder.Dll NoAD.sys NoAD.sys . GUpdate.exe
NoAD.exe
Uninstall.exe
TCE.dll SpyAutoUpdate.exe SpyDoctor.exe UpdateList.html track.sdb
DrVirus.dad DrVirus.dal DrVirus.dll mfc42.dll msvcp60.dll AutoUpdate.exe DrVirus.exe partner.ini 사용권계약서.txt UpdateList.txt
다잡아(AD-Spider)와 다간다(NO-AD)라는 이 두개의 프로그램은 모두 내가 좋아하지 않는 프로그램이다. 아울러 사용하지 말 것을 권고한다. 그 이유는 간단하다. 다잡아는 회사 부터 프로그램의 성능까지 믿기 힘든 프로그램이다. 다간다는 다잡아에 비해 이런 부정적인 이미지는 없다. 그러나 본문에서 소개했듯 바이러스만도 못한 악성코드 제거 프로그램 중 상당수는 다간다(NO-AD)의 엔진을 사용한다. 또 검색 결과 역시 실제 악성코드인지 아닌지 확인할 수 있는 방법이 없기 때문에 다간다(NO-AD) 역시 사용을 권하지 않는다.
많은 사람들은 무료 악성코드 제거 프로그램으로 악성코드를 제거한다. 그러나 이런 프로그램으로 섣부르게 악성코드를 제거하다가는 시스템이 부팅되지 않는 것과 같은 심각한 문제를 야기할할 수 있다는 점이다. 악성코드는 그 코드가 있다고 해서 반드시 해가되는 것은 아니다. 한예로 HKCU\Software\Microsof\Windows\CurrentVersion\Policies\System\DisableRegistryTools를 보자. 이 레지스트리는 악성코드를 레지스트리 편집기를 이용해서 제거하는 것을 막기 위해 악성 프로그램이 추가한 레지스트리이다.
그런데 문제는 공용 PC 관리자 역시 사용자들이 레지스트리 편집기를 사용하지 못하도록 이 레지스트리를 사용한다. 그런데 악성코드 제거 프로그램으로 이 레지스트리를 제거하면 어떻게될까? 당연한 이야기지만 공용 PC에서 사용자를 제한하는 기능 대부분이 제거된다. 따라서 이런 레지스트리가 발견되면 당연히 이 레지스트리를 변경한 악성코드가 실제로 존재하는지 확인하고 존재하는 경우에만 이 레지스트리를 삭제해야 한다. 그러나 대부분의 악성코드는 이 레지스트리가 존재하면 악성코드로 판정, 이 레지스트리를 삭제한다.
악성코드 제거 프로그램은 파일 이름이나 레지스트리 검색만으로 악성코드를 제거하는 것이 아니라 연관성 검사를 한 뒤 악성코드를 제거해야 한다. 그러나 많은 악성코드 제거 프로그램은 이런 연관성을 조사하지 않는다. 이 결과 전혀 엉뚱한 레지스트리, 파일이 삭제될 수 있으며, 이 경우 시스템을 부팅할 수 없는 치명적인 결과를 초래할 수도 있다는 점이다. 따라서 현재 국내에서 사용할 수 있는 악성코드 제거 프로그램 중 내가 추천하는 것은 딱 세개뿐이다.
또 무턱대고 악성코드를 제거하기 보다는 다음 글들을 읽고 실제 악성코드라는 판단이 섰을 때만 악성코드를 제거하는 것이 좋다.
Powered by Textcube