[그림 1] 작업관리자의 프로세스 화면
혹시 [그림1]에 빨간줄로 그어진 Svchost.exe 프로세스를 보신 적이 있으십니까?
컴퓨터에 대해 관심이 있으신 분이라면 누구나 아실 겁니다.
Svchost.exe 프로세스는 DLL로 실행되는 서비스를 그룹화 하는데 사용되는 프로세스로,보통 4~6개 정도 실행됩니다.
바로 이 프로세스의 이름을 비슷하게 헤서 만든 svohcst.exe가 이 바이러스입니다.
이해가 잘 안 되신다면 다음 [그림2]를 참조해주세요
[그림 2] 프로세스 이름 변경 규칙
이해하시죠? 바로 프로세스의 스펠링에서 ‘C’와 ‘O’ 자를 바꾼겁니다.
이런 장난스러운 이름을 붙여놓는 바이러스는 웜 성격을 가진 바이러스일 확률이 큽니다.
웜 바이러스란?
바이러스 및 악성코드와 비슷하게 사용자에게 피해를 주고자 만든 프로그램입니다.
보통 바이러스와는 다르게 자가복제를 하며, 감염대상을 가지고 있지 않고 감염된 PC의 이메일에
자신을 첨부하여 퍼트리는 방식을 사용하여 전파속도가 굉장히 빠릅니다. 이전에는 인터넷 등의 속도나
시스템에 무리를 주는 정도로 끝났지만 요즘에는 온라인 게임 정보를 빼내어 가거나, 인터넷 뱅킹 정보,
문화상품권 등의 정보를 빼내어갈 목적으로 만들어진 형태의 웜 바이러스도 발견되었습니다.
그렇다면 Svohcst.exe 바이러스는 어떻게 감염될까요?
- Internet Explorer 웹 브라우저 취약점 CVE-2010-0806과 Adobe Flash Player 취약점 CVE-2011-2110을 이용한 악성 스크립트가 동원된 바이러스로서, 취약점을 가진 PC 사용자가 온라인 음악 플레이어 업데이트 또는 사이트 접속 등의 환경을 통해 감염이 이루어 질 수 있습니다.
바이러스 생성 시 생성되는 레지스트리와 파일은 아래와 같습니다.
위와 같은 프로세스가 실행되면 각각의 프로세스이름을 딴 폴더가 생성되고 숨김,시스템 속성을 지니게 됩니다.
또한, 그 폴더 안에 바로 svohcst.exe가 생성됩니다.
재미있는 사실은 각각의 폴더 속에 들어있는 파일이 특정 게임들의 계정을 탈취하기 위한 목적임을 알 수 있다는 것입니다.
C:\dn\svohcst.exe |
드래곤네스트 게임을 해킹할 목적으로 제작된 것으로 추정 |
C:\dnf\svohcst.exe |
던전앤파이터 게임을 해킹할 목적으로 제각된 것으로 추정 |
C:\lq\svohcst.exe |
마비노기 게임을 해킹할 목적으로 제작된 것으로 추정 |
C:\mone\svohcst.exe |
바람의나라 게임을 해킹할 목적으로 제작된 것으로 추정 |
C:\mxd\svohcst.exe |
메이플스토리 게임을 해킹할 목적으로 제작된 것으로 추정 |
C:\tt\svohcst.exe |
리니지 게임을 해킹할 목적으로 제작된 것으로 추정 |
C:\wow\svohcst.exe |
월드오브크래프트 게임을 해킹할 목적으로 제작된 것으로 추정 |
이와 같이 탈취한 개인정보를 중국 서버로 전송하도록 시스템화 되어있는 바이러스입니다.
svohcst.exe 바이러스를 수동삭제 할 수 있도록 하는 방법은 없을까요?
이 바이러스는 계속해서 활동범위와, 숙주 등을 다르게 감염시키고 감염 시마다 변종 되는 특징을 가지고 있어, 수동삭제가 힘든 바이러스입니다. 아래 대표적인 삭제방법을 기재 하였습니다.
svohcst.exe 바이러스 예방 할 수 있는 방법은 없을까요?
터보백신이 추천 드리는 예방 방법은 다음과 같습니다.
그럼, 안전한 컴퓨터 사용 및 인터넷 생활이 되시기 바랍니다. ^^