Windows XP SP3 환경입니다.
본인의 경우 와우 OTP를 일주일에 한번 꼴로 실행되도록 설정해 놨었는데, 매번 접속할 때마다 OTP를 요구하길래 검사를 해 봤습니다. 결과는
C: \ Windows \ _MSRSTRT.EXE
C: \ Windows \ temp.tmp
C: \ Windows \ system32 \ temp.tmp
이 세개의 파일이 와우를 비롯한 온라인 게임 계정/비밀번호 탈취용 악성 프로그램입니다.
모두 svchost.exe 에 등록되어서 부팅 시 실행이 됩니다.
즉, 백신 보다 먼저 실행 되기 때문에 백신의 실시간 감시에서 걸리지 않습니다.
C: \ Windows \ _MSRSTRT.EXE
는 V3 유료 버전으로 검색 및 치료(삭제)가 가능합니다만
나머지 2개의 파일인
C: \ Windows \ temp.tmp
C: \ Windows \ system32 \ temp.tmp
V3 유료 버전에서 검색이 가능하지만 삭제는 불가능합니다.
이 두 파일은 일반적인 방법으로는 삭제가 불가능합니다.
아마도 C: \ Windows \ _MSRSTRT.EXE 를 먼저 제거한 후 안전모드로 재부팅해서 삭제해야 할 듯 싶습니다.
본인의 경우는 다른 운영체제인 우분투를 사용해서 삭제했습니다.
---
*. 잡담 추가
이 키로거는 와우 로그인을 방해하지는 않지만, 키로그 수집 후 어느 순간에 일괄적으로 전송합니다.
때문에 매번 와우 접속 시 OTP 입력 요구 사항이 나왔던 것 입니다. 즉, OTP 사용을 설정 해 놨기 때문에 해킹을 막은 경우가 되겠습니다.
좀 더 발전된 형태의 키로거였다면 다른 형태의 피해가 생겼을 수도 있겠습니다.
부팅 시 백신보다 먼저 실행되기 때문에 백신이 무용지물이 되어 버리니깐....
우분투(리눅스)에서 와우를 하면 이런 키로그 같은 악성 프로그램은 실행조차 안 되어서 편하고 좋았는데, ....
초기 와우는 OpenGL 지원을 잘 해주더니 가면 갈수록 소원해지니.....
어설픈껄떡쇠
극저사양 유저를 위한 히든(?)옵션 수정
