Windows Sxitcway Firewall/Internet Connection Sharing (ICS)

Windows Sxitcway Firewall/Internet Connection Sharing (ICS).

혹시 이런 설명이 붙은 어떤 서비스가 실행되고 있다면, 당신의 컴퓨터는 짱깨 크래커에 의해 감염된 PC를 사용중인 것이라 봐도 무방하다.

안타깝게도, 수많은 백신들이 세상엔 널려있지만, 설치되어 있지 않으면 무용지물.

또, 돈이 문제든, 시간이 문제든, 컴퓨터 성능이 문제든 간에 자신이 관리하는 모든 컴퓨터에 백신을 모두 다 설치하자니 그것도 꽤나 머리아프고 귀찮은 일이기도 하고.

게다가 기껏 설치해놓은 백신들 중에서도 저 백도어를 잡아내는 백신은 그리 많지 않은 것 같다...

아무튼 저 서비스는 백도어 프로그램으로, 백도어가 원래 그렇듯이 실제로 저 프로그램에 의한 1차적인 피해는 없다고 볼 수도 있지만, 크래커가 저 백도어를 타고 들어와서 무슨 짓을 할 지는 아무도 모르는 일이므로 반드시 제거해야 할 프로그램 1순위라 할 수 있다. (저 서비스로 실행되는 백도어를 동작 패턴을 보다보니... 보통은 DDoS에 사용되는 좀비PC로 활용되는 것 같다. 특정 날짜/시간에 네트워크 트래픽이 급증하여 집이나 소규모 회사라면 인터넷이 마비되기도 하는데 그 현상의 주범으로 짐작된다.)

저 프로그램은 아래와 같이 서비스로 설치된다.

위 화면에서 보듯 "ptwhrqfj"라는 표시 이름이나 "fastuserswitchingcompatibility"라는 서비스 이름은 전혀 중요하지 않다. 감염되는 PC에 따라 저 이름들은 천차만별이니까. 다만 지금까지 사례들을 살펴본 결과, 아직까지는 설명란에 있는 저 영문 단어 중 "Sxitcway"라는 국적을 알 수 없는 괴상한 이름은 반드시 들어가 있었으니 저 이름으로 찾으면 쉽게 찾을 수 있다, 아직까지는. (이런 팁이 인터넷에 공개되면 지능적이게도, 이름을 바꾸기도 한다... 참 재수없다... -_-a)

그럼, 저 서비스만 중지하면 되는 것인가? 일단은 맞다.

그런데, 안타깝게도 중지가 되지 않는다. 잔머리 쓰느라고 중지가 되지 않는 서비스로 설치해놓은 것이다.

뭐, 꼭 명령 프롬프트 실행 후 sc 명령어 같은 것을 사용하면 중지할 방법이 아주 없는 것은 아니지만 몹시 귀찮고 어렵기까지 하다.

제일 간단한 방법은 작업 관리자에서 해당 프로세스를 찾아 죽이는 것이다. (그래서 명령줄을 표시하는 옵션이 중요하다! 안 그러면 어떤 프로세스를 죽여야 하는지 구분이 안되니까. 작업 관리자에서 명령줄을 표시하는 방법은 아래 ps. 참조)

물론, 죽이면 또 살아난다. 그러면 또 죽이면 된다. 그럼 또 살아나겠지.... 그래도 포기하지 말고 또 죽이면 된다. 언제까지? 딱 3번만.

아, 한 번만에 죽이는 방법도 있긴 하다. 그건 위 서비스 팝업 속성 화면에서 세 번째 "복구" 탭을 눌러보면 바로 알 수 있다. (상세한 설명은 패쓰! ^^;)

어쨌든 서비스를 죽이고 나면 이제 위 서비스 팝업 속성 화면에서 서비스 시작 유형을 "사용 안 함"으로 바꾸기만 하면 끝.

위 서비스를 완전히 삭제하는 방법은 sc config 명령을 사용하면 되는데, 결벽증이 아니라면 뭐 꼭... 굳이 그럴 필요까진 없다.

(sc config 명령에 대한 상세한 설명 역시 패쓰! ^^;;)

ps. 서비스는 [제어판]-[관리 도구]에서 찾을 수 있다.

이 백도어 프로그램뿐만 아니라 그 외에도 어느 날부터 갑자기 컴퓨터가 느려졌다거나, 쓰지도 않는 네트웍 트래픽이 몸살을 앓는다거나, 실행되고 있는 프로세스 목록에 평소에 못보던 낯선 이름의 프로세스가 실행되고 있다면 작업 관리자를 실행해서 [보기] 메뉴를 누르고 [열 선택...]을 선택한 다음 목록에서 "명령줄"을 찾아 체크하고 확인을 눌러 보자. 분명히 뭔가 실행되어서는 안되는 프로그램이 실행되고 있을 가능성이 높다!

이처럼 프로세스 이름 만으로는 뭐가 뭔지 구분이 잘 되지 않을 때, 명령줄까지 살펴보면 전혀 정상적으로 보이지 않는, 또는 내가 설치하지 않은 이상한 경로에서 실행되고 있는 프로그램이나, 정상적인 프로그램과 똑같은 이름의 프로그램인데 다른 것과는 경로가 다른 프로그램 같은 것이 보일 때가 있다. 그 놈이 바로 범인이다!

간단한 예를 하나 들면, 위 백도어는 svchost.exe라는 윈도우 기본 호스트 프로세스와 이름이 같다. 그런데 x64 컴퓨터에서 보면 다른 기본 호스트 프로세스들은 모두 C:\WINDOWS\system32\svchost.exe 뒤에 -k 옵션을 달고 각 서비스 이름이 구분되어 실행되고 있음에 반해, 저 백도어는 C:\WINDOWS\SysWOW64\svchost.exe 경로로 실행되고 있음을 알 수 있다. 즉, 64비트로 만들어진 원래 프로그램이 아니라, 32비트로 만들어진 외부 생성 프로그램이라는 의미다. 이런 것들은 명령줄을 통하지 않고 그냥 봐서는 절대 알 수 없다.

ps2. 혹시, 이와 같은 절차로 해당 서비스를 사용하지 않도록 해놨는데도 자꾸 실행된다면 다른 백도어나 자동 백도어 설치 프로그램이 있는 것은 아닌지 의심해봐야 한다.