Trojan:Win32/Powemet.G!attak 삭제 방법 (How to remove Trojan:Win32/Powemet.G!attak)

 Trojan:Win32/Powement.G!attak 삭제 방법 (How to remove virus)


Trojan:Win32/Powement.G!attak 삭제 방법

여동생 매장에 있는 컴퓨터를 살펴보다 이상한 흔적이 있어서 점검해 보니 Trojan:Win32/Powemet.G!attak 바이러스를 확인했습니다.  웬만하면 백신으로 치료가 될 텐데 시간이 지나면 다시 살아나는 fileless 바이러스 같았습니다.

컴퓨터 포맷 없이 바이러스를 제거할 수 있는 방법 소개해 드리겠습니다.


안전모드 부팅 및 Malware Zero 점검


안전 모드로 부팅을 하게 되면 안전 모드에서는 윈도 디펜더가 작동하지 않습니다. 따라서 Malware Zero, Windows Safety Scanner, Stinger, 등의 안티 바이러스 프로그램 최신 버전을 먼저 다운로드해둔 상태에서 안전 모드로 부팅하는 것이 좋습니다.


Trojan:Win32/Powemet.G!attak

안전 모드로 부팅하기 위해서는 Win + r, msconfig 입력하여 [부팅]에서 [안전 부팅]을 선택하시고 재부팅하시면 됩니다.


안전 모드 부팅 방법

Malware Zero 프로그램의 압축파일을 풀고, start.bat 파일을 선택.
마우스 오른쪽 클릭 - [관리자 권한으로 실행]을 선택합니다.
안내에 따라 시스템을 점검합니다. 시스템의 사양에 따라 점검에 1시간 이상 소요될 수 있습니다.

추가로 Microsoft Safety Scanner로 다시 점검을 하셔도 좋습니다.

Microsoft Safety Scanner

바이러스가 완전히 삭제된 이후, C:\Quarantine_MZ 폴더를 삭제하는 것이 좋습니다. 삭제한 바이러스는 검역소에 보관하기 때문에 바이러스 점검 시 이 폴더에 있는 파일이 다시 탐지되기 때문입니다.

Malware Zero 검역소

컴퓨터 IP 확인 및 Private IP로 변경


[Win + r]을 입력하여 cmd, 명령 터미널을 실행하여 ipconfig 명령어를 입력합니다.

ipconfig 및 IP 확인

ipconfig 명령어를 실행해서 IPv4 주소에 나오는 IP 주소와 "내 ip"로 조회해서 확인할 수 있는 나의 공인 IP(public IP)가 동일하게 나오는 경우, 컴퓨터의 랜 연결을 조금 바꿔줘야 합니다.

브릿지로 연결된 컴퓨터

공유기(브리지 모드)에 컴퓨터가 바로 연결되어 있어서 컴퓨터에 공인 IP(Public IP)가 할당된 상태였습니다. 이런 경우 컴퓨터에 취약점이 있는 경우 해커가 직접적으로 컴퓨터를 공격할 수 있습니다. 그렇기 때문에 공인 IP가 아닌 사설 IP로 바꿔주는 것이 좋습니다.

사설 IP로 변경

사설 IP로 변경하는 방법은 아주 간단합니다. 모뎀(브리지 모드)에 연결되어 있던 랜 선을 무선 공유기에 바꿔서 연결하면 됩니다. 만약 공유기가 2개가 아닌 1개를 사용한다면 공유기 뒤에 있는 초기화 버튼을 눌러서 공유기를 초기화하시면 됩니다.

컴퓨터에 사설 IP(Private IP)로 할당되면 외부의 해커의 공격으로부터 안전하게 보호받을 수 있습니다. 공격을 하려면 무선 공유기를 먼저 공격해야 가능하기 때문에 안전하게 됩니다.

구라 제거기 실행


한국 공공기관 및 은행의 경우 과도하게 보안 프로그램을 컴퓨터에 설치하게 합니다. 그러나 이 보안 프로그램 자체의 취약점으로 인해서 외부의 해킹 공격으로부터 더욱 취약할 수 있습니다. 따라서 컴퓨터에 설치된 은행 보안 프로그램을 모두 삭제하는 작업이 필요합니다.

Ahnlab Safe Transaction 프로그램은 그대로 남겨둬도 좋습니다. hosts 파일 보호 및 PC 검사 기능을 사용할 수 있습니다.

구라 제거기 다운로드

웹 브라우저에서 "구라 제거기"로 검색하여 공식 사이트에 방문, 최신 버전의 구라 제거기를 다운로드할 수 있습니다.

프로그램을 사용하여 불필요한 뱅킹 관련 보안 프로그램을 모두 삭제합니다.


Ahnlab Safe Transaction

Ahnlab Safe Transaction 을 삭제하지 않는 이유는 유해 사이트 차단, 위협 행위 차단, hosts 파일 보호 기능을 평소에 이용할 수 있기 때문입니다. 또한 뱅킹 사이트에 로그인하게 되면 방화벽과 PC 검사 기능이 추가로 활성화되기 때문입니다.


Ahnlab Safe Transaction 바이러스 점검

Powershell 정책 설정


[Win + r], gpedit.msc를 입력하여 '로컬 그룹 정책 편집기'를 실행합니다.
[관리 템플릿] - [Windows 구성 요소] - [Windows Powershell]를 선택합니다.
[스크립트 실행 켜기]를 선택하여 "사용" - "서명된 스크립트만 허용"으로 변경합니다.
Powershell을 완전히 차단하려면 "사용 안 함"으로 바꿔도 됩니다.

powershell 제한 설정

Process 및 Autoruns 점검

컴퓨터를 재부팅하고 자동 실행되는 프로세스에 이상한 프로세스가 있는지 점검합니다. 
Process Explorer를 사용하여 점검할 수 있는 방법은 내용이 길기 때문에 아래 링크를 참고하여 점검해보세요.

https://kaliholic.blogspot.com/2023/10/processexplorer.html


Trojan:Win32/Powemet.G!attak 프로그램의 경우 컴퓨터 전체를 바이러스 점검해도 나오지 않다가 시간이 지나면 윈도 디펜더가 차단했다는 알림이 뜨기도 합니다. 즉, Fileless 방식의 바이러스일 가능성이 매우 높은데요. 이런 경우 Sysinternals에서 Autoruns 프로그램을 다운로드하여 점검하는 것이 좋습니다.


autoruns 점검

Logon, Explorer, Scheduled Tasks, Services 메뉴를 각각 확인하여  Not Verified로 표시되는 프로세스가 있는지 잘 확인하여 체크박스를 없애거나 확실히 삭제해도 되는 프로그램의 경우 마우스 오른쪽 클릭하여 삭제를 눌러주세요.


Logon에 나오는 cmd.exe 정상 프로그램이니 그대로 두시고 만약 powershell.exe가 자동 실행으로 설정되어 있는 경우 꼭 삭제하시기 바랍니다.


브라우저 확장 프로그램 점검 및 삭제

컴퓨터에 설치된 chrome, edge 등 웹 브라우저 프로그램을 실행하고 설치된 확장 프로그램을 모두 확인합니다. 가능하면 모든 확장 프로그램을 일단 다 삭제하는 것을 추천합니다.

안전하다고 확실히 판단할 수 있는 확장 프로그램만 그대로 남겨두세요.

위 과정을 모두 거친 다음 확인해보니 Trojan:Win32/Powemet.G!attak 차단 알림이 더 이상 나오지 않네요.

이 블로그의 인기 게시물

KB5034441 Error (0x80070643) 해결방법

이미지
 KB5034441 Error (0x80070643) 해결방법 KB5034441 Windows update의 오류가 자체적으로 해결되기를 기다렸지만 해결될 기미가 보이지 않았습니다. 그래서 수동으로 RE Partition(복구 파티션)의 크기를 확장하여 문제를 해결했습니다. 그 방법은 굉장히 쉽습니다. 차근차근 따라 해보세요. RE partition 및 Disk 번호 확인 cmd 명령 프롬프트를 "관리자 권한으로 실행" 메뉴를 선택하여 관리자 권한 으로 실행합니다. reagentc /info 명령어를 실행합니다. Windows RE 위치: harddisk 뒤에 나오는 숫자를 확인합니다. 제 경우는 1번입니다. reagentc /disable 명령어를 실행합니다. 디스크 관리 실행 [Win + X] 단축키, K key 를 입력하여 디스크 관리를 실행합니다. 제 경우, RE Partition이 설치된 위치는 harddisk1번이었습니다. 기본으로 생성된 RE Partition(535 MB) 부분을 선택 - 마우스 오른쪽 클릭 - 삭제하여 파티션을 삭제합니다. 그리고 운영체제가 설치된 파티션을 선택하고 마우스 오른쪽 클릭 - 축소 - 1000을 입력하여 1000MB만큼 용량을 축소합니다. 약 1.5GB의 할당되지 않음으로 나오면 diskpart 프로그램을 실행하여 RE Partition을 1.5GB로 생성해 주는 작업이 추가로 필요합니다. diskpart , RE Partitioning [Win + r] 단축키를 입력, diskpart 를 다시 입력하여 프로그램을 실행합니다. list disk 명령어를 실행합니다. 제 RE Partition은 disk1에 생성해야 합니다. 따라서 select disk 1 을 입력합니다. 이때 disk 1이 Gpt에 *가 있다면 GPT, 없다면 MBR 파티셔닝 방식입니다. [GPT인 경우] create partition primary id=de94bba4-06d1-4d40-a16a-bfd50179d6ac 명
Read more »

Hyper-V Default Switch 인터넷 연결 문제 해결(No Internet Solved)

이미지
 Hyper-V Default Switch 인터넷 연결 문제 해결(No Internet Solved) Windows Pro 버전부터 사용할 수 있는 Hyper-V, 그중에서 인터넷을 사용할 수 있는 기본 가상 스위치(Default Switch)를 사용해도 인터넷을 사용할 수 없는 경우가 있습니다. 개인(Private Switch), 내부(Internal Switch), 외부(External Swithch), 기본(Default Switch) 각각 차이점을 살펴보고 해결 방법도 알려드리겠습니다. 제가 사용하는 Wi-Fi 네트워크 어댑터 설정을 보여드리겠습니다. 저는 DNS만 바꿔서 사용하고 있습니다. DNS는 구글(8.8.8.8), Cloudflare(1.1.1.1) 등 자신이 좋아하는 DNS로 바꿔도 상관없습니다. Default Switch로 연결된 Kali Linux VM에서 nslookup 명령어를 사용해 봤습니다. dnsleaktest를 해보면 Cloudflare로 나옵니다. Wi-Fi 네트워크에 수동으로 설정해 준 DNS 서버를 통해서 정상적으로 인터넷을 사용할 수 있게 됩니다. Hyper-V를 활성화시키면 네트워크 연결에 vEthernet(Default Switch)가 생성됩니다. 제 컴퓨터는 Wi-Fi를 통해 연결되어 있으며, 위와 같이 총 4개의 네트워크 어댑터가 있습니다. 개인 네트워크 (Private Switch) 가상 스위치 Hyper-V를 처음 실행하면 Default Switch만 (WSL 사용 시 WSL 스위치 추가) 있을 것입니다. 사용하는 VM의 용도에 맞게 개인 네트워크(Private Switch), 내부 네트워크(Internal Switch), 외부 네트워크(External Switch)로 설정할 수 있습니다. 이 중에서 개인 네트워크(Private Switch)은 단순히 컴퓨터에 랜 카드만 하나 달린 상태로 보시면 이해가 쉬울 것 같습니다. 컴퓨터에 랜카드는 있지만 아무런 설정이 안된 상태라 직접 랜카드에 IP, Netmask,
Read more »

부고 문자 피싱 사례

이미지
 부고 문자 피싱 사례 '관혼상제' 인간이 살아가며 거치는 4가지 큰일인데... 피싱 문자가 이번에는 부고 문자까지 심하게 선을 넘네요. 이번 부고 문자 피싱의 메시지는 "부모님께서 별세하셨기에 아래와 같이 부고를 전해 드립니다. 장례식장." 이거 너무 한거 아니요? 만약 이런 문자를 받는다면 확인하지 마시고 바로 차단 및 삭제하시는 것을 추천합니다. 호기심에서 링크로 접속하지 마세요~ 피싱 문자(부고 문자) 확인 보통 단축 URL 링크 생성 사이트에서 해당 링크를 클릭한 사람의 IP, 운영체제, Geo-Location 등의 정보를 확인할 수 있습니다. 따라서 링크를 누르는 순간 이런 정보들이 노출될 수 있으니 궁금하더라도 링크를 클릭하지 마세요. 제가 대신 클릭했습니다.  "꽃다운 나이에 세상을 떠난 선생님께 마음 깊이 애도를 표합니다. 고인의 명복을 빕니다." 그리고 '열기'라는 메뉴가 있습니다. 피싱 페이지에 "선생님께 마음 깊이 애도를 표합니다"라는 부분이 신경 쓰입니다. 최근 초등학교 선생님의 안타까운 사건이 있었기 때문입니다. 이 사건 관련하여 피싱 문자(추모앱으로 위장 가능성)가 악용될 가능성도 있어 보입니다. '열기'를 클릭하면 악성 apk 파일이 다운로드 됩니다. 부고 문자 피싱관련 apk 파일 다운로드 되는 파일은 '모바일 부고장.apk' 파일입니다. 이 파일은 Trojan이 포함된 악성 apk 파일입니다. 이 앱을 휴대폰에 설치하고 앱이 요구하는 권한을 허용하면 휴대폰을 사기꾼들이 컨트롤할 수 있게 됩니다. 혹시, 호기심에 다운로드할 같아서 제가 대신 다운로드해서 점검해 보았습니다. 다운로드하시면 IP가 노출되기 때문에 안전하게 IP를 숨겨서 받았습니다. ESET-NOD32, Kaspersky, ZoneAlarm,  Trustlook에서 "Android/Spy.Agent, HEUR:Trojan-Spy.AndroidOS.Fa
Read more »