[긴급] 리니지 계정 탈취용 스파이웨어 제거…

최근들어서 제 컴퓨터에서 이상하게도 많은 연산에러가 났습니다. 창을 닫을 때 “@#$%^&번지의 메모리에 쓰기가 불가능합니다. 어쩌구 저쩌구” 하는 메시지를 보내기도 하고, ie창을 정상적으로 수행할 수 없다는 이야기도 종종 나왔습니다. TLive.exe 프로그램이 연산에러가 심하게 나기도 했고, 아무튼 대부분의 프로그램과의 충돌로 컴퓨터를 사용하기가 여간 성가신 것이 아니었습니다.
심지어는 인터넷이 느려지거나 접속이 원활히 되지 않는 경우도 있었습니다.

그러다가 어제 백신이 처음으로 스파이웨어를 감지하면서 싸움이 시작됐습니다. 막상 그 존재를 알고 있으면서도 그 정체가 확실하지 않아서 추적하지 못하고 있었는데, 백신이 치료를 해 주지 못하면서 존재만은 알려줘서 추적이 시작된 것이죠. 이 스파이웨어의 주 용도는 리니지 계정의 패스워드를 훔치는 것이랍니다.

제일 처음 문제가 되는 프로그램은 “hema.exe” 프로세서 입니다. 윈도우즈에서 Ctrl+Alt+Del키를 눌러 Windows 작업 관리자를 띄운 후 보시면 hema.exe라는 프로세서가 떠 있습니다.

이 프로세서를 끝낸 뒤에 검색 창을 띄우거나 탐색기 등의 창을 띄운 뒤에 다음 위치의 파일들을 삭제하면 됩니다.

파일 삭제
위치 : C:/windows/system32
파일명 : hema.exe
            HEMA.EXE-08A28699.pf
            xxll.dll

그 뒤에 레지스트리에서 정보를 삭제합니다.

레지스트리 삭제 : 실행 창에서 “regedit”를 실행
위치1 : HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603
키1 : “000”=”hema.exe”
위치2 : HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
키2 : “C:\\WINDOWS\\system32\\hema.exe”=”hema”
위치3 : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
키3 : “loadMewy”=”C:\\WINDOWS\\system32\\hema.exe”

위의 3개의 파일과 3개의 키를 삭제하기만 하면 됩니다. 조취가 비교적 간단하죠?
파일을 삭제한 뒤에는 레지스트리를 삭제하지는 않아도 됩니다.
실행파일은 xxll.dll 파일이고, 숙주는 hema.exe인데 백신 프로그램은 xxll.dll만을 찾아서 삭제하려고만 하더군요. 여러분들의 컴에도 xxll.dll파일이 있는지 확인하시고 존재한다면 위의 방법으로 삭제하실 것을 권해 드립니다.

그나저나 어떤 경로로 이 프로그램이 제 컴퓨터에 설치됐는지 모르겠네요. 윈도우즈를 새로 설치하면서 살펴봐야 할까봅니다. ^^;;;

ps.
ppoker.exe 라는 프로세서가 관찰되고 있습니다. 처음에는 이 녀석의 정체를 의심했는데, 실험해본 결과 이 녀석은 KT에서 제공하는 자동접속 프로그램의 네트워크 신호의 내부전환용이더군요. -_-
KT 프로그래머의 작명 쎈스가 정말… 덜덜이군요. -_-

2 thoughts on “[긴급] 리니지 계정 탈취용 스파이웨어 제거…

  1. 근 5년동안 유일하게 걸린 녀석이 리니지 관련 스파이죠.
    유입경로를 결국 알아내지 못했습니다.
    추측컨데 아마 crack에 동봉되어 있었던 것 같습니다.

    1. 저도 아마 그렇게 생각합니다.
      스파이웨어를 지웠지만, 윈도우즈의 문제가 심각해서 새로 설치해야 할 것 같습니다. ㅜㅜ

댓글 남기기