MacOS상에서 포르노 비디오 시청을 유도하는 OSX.RSPlug.A 트로이목마 제거하 기
MacOS(X 10.4 or later)상에서 포르노 비디오 시청을 유도하는 OSX.RSPlug.A 트로이목마는 비디오 코덱으로 가장해 사용자가 설치를 할 경우 MacOS 상에서 포르노 비디오 시청을 유도합니다. 적극적으로 다른 컴퓨터로 감염을 시키는 바이러스는 아니지만 실행되면 DNS설정이 변경되어 피싱사이트나 유사 포르노 사이트로 접속되는 악성 소프트웨어입니다.
(역주 : 이 글의 댓글에는 이를 환영한다는 우스개 댓글도 보이는군요.)
만약 여러분이 예를 들어 브리트니 스피어스의 사진을 찾다가 관련 비디오를 보려고 클릭했더니 코덱이 없다는 이유로 코덱이 디스크 이미지의 형태로 다운로드되고 마우트된 후 설치 프로세스가 관리자 비밀번호를 요구한다면 이 트로이 목마의 감염을 의심해 보아야 합니다.
절대주의 : 믿을 수 없는 출처의 소프트웨어는 절대로 설치해서는 안됩니다. 특히 인스톨러 패키지의 형태로 관리자의 암호를 물어온다면 더더욱 위험합니다. 그러나 설치 프로세스를 실행시키면 다음과 같은 상황이 초래합니다.
이 교묘한 트로이목마는 MacOS X 10.4(타이거)이후에서 발견되며 눈에 보이지 않게 감염되므로 실제로 발견하기 쉽지 않습니다. 그렇다면 어떻게 감염을 확인할까요? VirusBarrier를 사용하고 최신의 바이러스 정의 파일을 업데이트 하고 있다면 VirusBarrier가 발견하고 치료할 수 있습니다.
MacOS X 10.5(레오파드)를 사용하고 있다면 Network System Preferences를 열고 AirPort, Ethernet와 같은 활성화된 인터페이스를 선택하고 DNS탭을 클릭합니다. DNS servers박스에 있는 모든 항목이 검정색으로 나타나야 합니다. 그러나 트로이목마에 감염되었다면 오른쪽 이미지처럼 정상적인 DNS 항목 위쪽에 회색으로 된 유령 DNS 항목을 발견할 수 있습니다. 위의 두개가 악성 DNS이고 아래의 검정색 DNS가 정상 DNS입니다.
주의 : 정상적인 DNS 정보가 회색으로 보일 수(예를 들어 특정 DNS서버가 제공하는 정보는 회색으로 보인다든가 하는)도 있습니다. 이런 경우라도 시스템이 감염된 것으로 보고 이 문서를 끝까지 꼭 읽어 보시기 바랍니다.
이럴 때 감염되었는지 여부를 가장 쉽게 발견하는 방법은 Top Level / Library 로 간 다음 Internet Plug-Ins 폴더를 엽니다. 그리고 plugins.settings라는 이름의 파일을 찾아봅니다. 이 파일을 찾았다면 시스템은 감염된 것입니다.
또다른 방법으로 cron job으로 발견할 수도 있습니다. 이를 수행하려면 터미널(in /Applications -> Utilities)을 열고 아래와 같은 명령을 내립니다:
관리자 비밀번호를 입력하면 cron job 목록이 표시됩니다. 일반적으로 이 항목은 비어있어야 하지만 아래와 같은 항목이 보인다면 이 트로이목마에 감염되었다고 봐야 합니다.
확실하게 하고 싶다면 터미널에서 scutil을 실행하면 됩니다. scutil을 입력하고 리턴을 누르고 나서 프롬프트에서 show State:/Network/Global/DNS 를 입력합니다. 그러면 아마도 아래와 같이 출력될 것입니다.
이것은 시스템의 DNS 설정사항입니다. (scutil에서 터미널로 나오려면 exit 명령을 내리면 됩니다.) Network preferences 판넬의 항목과 이를 비교합니다. Network preferences 판넬에서 보이지 않던 항목이 보인다면 트로이목마 감염을 의심해봐야 합니다.
트로이목마에 감염되었다면 이를 제거하는 가장 쉬운 방법은 무엇일까요? 위에도 언급했지만 VirusBarrier가 최신 바이러스 정의로 업데이트되어있다면 이를 해결할 수 있습니다. 하지만 이를 직접 제거하려고 한다면 터미널을 이용한 간단한 작업으로 제거할 수 있습니다. MacOS X 10.4(타이거)와 MacOS X 10.5(레오파드)에서 동일한 결과가 나타났습니다.
시스템 리부팅(MacOS X 10.5 레오파드) 후 Network System Preferences 판넬의 Advanced 의 DNS탭에서 회색 항목이 사라진 것을 확인할 수 있습니다. MacOS X 10.4(타이거)에서는 scutil명령의 결과로 트로이목마가 제거된 것을 확인할 수 있습니다.
이런 류의 악성 소프트웨어의 감염을 막는 가장 좋은 방법은 믿을 수 없는 출처의 소프트웨어를 절대로 실행하지 않는 것입니다. 특히 인스톨러 패키지의 형태로 관리자 비밀번호를 물어오면 더더욱 위험합니다. 그러나 감염된 경우 이를 해결하는 방법정도는 최소한 알고 있어야 합니다.
원문보기(잘못된 번역의 지적은 언제나 환영합니다)
(역주 : 이 글의 댓글에는 이를 환영한다는 우스개 댓글도 보이는군요.)
만약 여러분이 예를 들어 브리트니 스피어스의 사진을 찾다가 관련 비디오를 보려고 클릭했더니 코덱이 없다는 이유로 코덱이 디스크 이미지의 형태로 다운로드되고 마우트된 후 설치 프로세스가 관리자 비밀번호를 요구한다면 이 트로이 목마의 감염을 의심해 보아야 합니다.
절대주의 : 믿을 수 없는 출처의 소프트웨어는 절대로 설치해서는 안됩니다. 특히 인스톨러 패키지의 형태로 관리자의 암호를 물어온다면 더더욱 위험합니다. 그러나 설치 프로세스를 실행시키면 다음과 같은 상황이 초래합니다.
- 미안하지만 비디오를 볼 수 없습니다. 왜냐구요? 실제로 비디오 코덱이 설치되지 않기 때문입니다.
- DNS 구성이 악성 DNS로 변경됩니다. 이는 여러분이 웹브라우저에서 www.soondesign.co.kr 로 타이핑을 해도 실제 사이트로 이동하지 않고 피싱사이트나 포르노사이트로 연결되게 합니다. 악성 DNS 로 구성된 것으로 보인다면 ebay.com이나 paypal.com 을 입력해 보면 됩니다. 결과는 아주 극악합니다.
- DNS를 수정해도 cron job(scheduled task)이 매분마다 악성 DNS로 복원합니다.
트로이목마 감염여부 확인하기
이 교묘한 트로이목마는 MacOS X 10.4(타이거)이후에서 발견되며 눈에 보이지 않게 감염되므로 실제로 발견하기 쉽지 않습니다. 그렇다면 어떻게 감염을 확인할까요? VirusBarrier를 사용하고 최신의 바이러스 정의 파일을 업데이트 하고 있다면 VirusBarrier가 발견하고 치료할 수 있습니다.
MacOS X 10.5(레오파드)를 사용하고 있다면 Network System Preferences를 열고 AirPort, Ethernet와 같은 활성화된 인터페이스를 선택하고 DNS탭을 클릭합니다. DNS servers박스에 있는 모든 항목이 검정색으로 나타나야 합니다. 그러나 트로이목마에 감염되었다면 오른쪽 이미지처럼 정상적인 DNS 항목 위쪽에 회색으로 된 유령 DNS 항목을 발견할 수 있습니다. 위의 두개가 악성 DNS이고 아래의 검정색 DNS가 정상 DNS입니다.
주의 : 정상적인 DNS 정보가 회색으로 보일 수(예를 들어 특정 DNS서버가 제공하는 정보는 회색으로 보인다든가 하는)도 있습니다. 이런 경우라도 시스템이 감염된 것으로 보고 이 문서를 끝까지 꼭 읽어 보시기 바랍니다.
이럴 때 감염되었는지 여부를 가장 쉽게 발견하는 방법은 Top Level / Library 로 간 다음 Internet Plug-Ins 폴더를 엽니다. 그리고 plugins.settings라는 이름의 파일을 찾아봅니다. 이 파일을 찾았다면 시스템은 감염된 것입니다.
또다른 방법으로 cron job으로 발견할 수도 있습니다. 이를 수행하려면 터미널(in /Applications -> Utilities)을 열고 아래와 같은 명령을 내립니다:
sudo crontab -l
관리자 비밀번호를 입력하면 cron job 목록이 표시됩니다. 일반적으로 이 항목은 비어있어야 하지만 아래와 같은 항목이 보인다면 이 트로이목마에 감염되었다고 봐야 합니다.
* * * * * "/Library/Internet Plug-Ins/plugins.settings">/dev/null 2>&1
확실하게 하고 싶다면 터미널에서 scutil을 실행하면 됩니다. scutil을 입력하고 리턴을 누르고 나서 프롬프트에서 show State:/Network/Global/DNS 를 입력합니다. 그러면 아마도 아래와 같이 출력될 것입니다.
<dictionary> {
ServerAddresses : <array> {
0 : 123.12.34.56
1 : 234.65.43.21
}
}이것은 시스템의 DNS 설정사항입니다. (scutil에서 터미널로 나오려면 exit 명령을 내리면 됩니다.) Network preferences 판넬의 항목과 이를 비교합니다. Network preferences 판넬에서 보이지 않던 항목이 보인다면 트로이목마 감염을 의심해봐야 합니다.
트로이목마 제거하기
트로이목마에 감염되었다면 이를 제거하는 가장 쉬운 방법은 무엇일까요? 위에도 언급했지만 VirusBarrier가 최신 바이러스 정의로 업데이트되어있다면 이를 해결할 수 있습니다. 하지만 이를 직접 제거하려고 한다면 터미널을 이용한 간단한 작업으로 제거할 수 있습니다. MacOS X 10.4(타이거)와 MacOS X 10.5(레오파드)에서 동일한 결과가 나타났습니다.
- 파인더에서 /Library -> Internet Plug-Ins 로 이동한 다음 plugins.settings라는 파일을 삭제하고 휴지통을 비웁니다. 이 파일이 엉터리 DNS정보 구성하는 파일입니다.
- 터미널에서 sudo crontab -r을 관리자 암호와 함께 입력합니다. 이는 매 분마다 악성 DNS를 복원하는 예약 작업을 지우는 명령입니다. 이 명령이 제대로 적용이 되었는지 확인하려면 sudo crontab -l을 입력하면 됩니다. 결과에 “crontab: no crontab for root.”라고 나오면 정상적으로 제거된 것입니다.
- Network System Preferences을 열고 DNS Server상자로 간 다음 안의 항목을 메모장이나 TextEdit document와 같은 것을 이용하여 메모해 두고 이를 다시 박스에 재입력하고 적용 단추를 누릅니다.
- 맥을 다시 재시동합니다.
시스템 리부팅(MacOS X 10.5 레오파드) 후 Network System Preferences 판넬의 Advanced 의 DNS탭에서 회색 항목이 사라진 것을 확인할 수 있습니다. MacOS X 10.4(타이거)에서는 scutil명령의 결과로 트로이목마가 제거된 것을 확인할 수 있습니다.
이런 류의 악성 소프트웨어의 감염을 막는 가장 좋은 방법은 믿을 수 없는 출처의 소프트웨어를 절대로 실행하지 않는 것입니다. 특히 인스톨러 패키지의 형태로 관리자 비밀번호를 물어오면 더더욱 위험합니다. 그러나 감염된 경우 이를 해결하는 방법정도는 최소한 알고 있어야 합니다.
원문보기(잘못된 번역의 지적은 언제나 환영합니다)
한국영화 좋습니다
답글삭제댓글달기로
답글삭제한국예술제
답글삭제