어느 유명 커뮤니티 사이트를 사칭하면서 누가 당신을 찜해서 무슨 파일을 보냈다는 식의 메일이 내 회사 이메일로 도착했다.
이런 메일은 100% 스팸이나 바이러스나 기타 등등 불순한 메일... 즉 보내는 사람이 내가 누군지 모르고 보낸 메일이다.
내가 제정신으로 있으면서 이런 첨부 파일을 열 리는 절대 없었겠지만, 일단 압축을 풀거나 JPG 그림 파일을 보는 것만으로 바이러스가 전달될 리는 없다고 여겼기 때문에 파일을 열어 봤다.
그리고 내가 방심했던 게... 요즘 특히 msn 계정으로는 할 일 없는 녀석들이 아무에게나 저런 메시지를 워낙 많이 보내기 때문에, 저건 꼭 기계가 퍼뜨리는 바이러스는 아닐 수도 있다고 판단했던 것이다. 왜, 네이버나 싸이에 가 보면 내 아이디를 어떻게 귀신같이 찾았는지 무슨 카페로 초대하는 메일이나 쪽지가 많이 도착하지 않는가? 그런 것처럼 말이다.
그랬는데.... 감쪽같이 속았다.
압축되어 있던 파일은 헥사 에디터로 들여다보니 실행 파일이었을 뿐만 아니라 실제 이름은,
document.jpg (공백 잔뜩) .exe 였다! 오른쪽 부분을 내가 못 본 것이다.
이런 망할...;; 기분 확 잡치는 순간이었다.
작업 관리자를 열어서 즉시 저 프로세스를 죽였다.
이미 내 계정 모처에다가 운영체제 시스템 프로세스를 사칭한 lsass.exe가 만들어지고 돌아가고 있는지라, 그것도 프로세스를 죽이고 파일을 지웠다.
레지스트리 편집기를 열어 보니 역시 저 가짜 lsass를 실행하는 엔트리가 만들어져 있어서 그것도 삭제. 본인은 저 ‘시작 프로그램’ 레지스트리 목록은 즐겨찾기에다 등록해 놓고 수시로 검사한다.
그러고 나서 ‘시스템 정보’를 띄워서 로드된 모듈을 exe뿐만 아니라 dll 단위로 정밀 검사하고, ‘제어판 관리 도구-서비스’로 들어가서 이상한 놈이 생기지는 않았는지도 검사.
이상이 없는 걸 확인하고 재부팅 후에도 다행히 특이 사항이 발견되지는 않고 있으나, 요즘 바이러스들이 얼마나 끈질긴 놈인지를 익히 알기 때문에 여전히 마음이 편하지가 않다.
인터넷으로 최초로 받은 실행 파일이나 심지어 chm 파일은 클릭해도 정말로 열(실행할) 거냐고 운영체제가 원래 묻지 않던가?
어쨌든 여러 모로 방심하다가 큰 낭패를 당할 뻔 했다.
여담이지만 윈도우 비스타에서부터 추가된 사용자 계정 컨트롤은, 일단 바이러스가 취할 만한 동작은 다 무조건 사용자의 허가와 관리자 암호 입력을 받은 뒤에만 행하기 때문에 컴퓨터를 굉장히 안전하게 만들어 준다는 건 명백하겠다. 하지만 평소에 컴퓨터 다루기가 불편해도 너무 불편해지니까 끄고 지낸다. -_-;;
지금까지 스팸 메일 한 통 온 적 없던 내 회사 메일로 어떻게 해서 이런 바이러스가 묻은 메일이 오게 됐을까? 같이 이런 메일을 받은 직장 동료도 있는 걸 보아하니 거래하는 회사에 등록되어 있는 주소록을 토대로 바이러스가 쫙 전파된 것 같다. 어쩌면 내가 바이러스 메일을 열어 버린 동안 내 컴퓨터를 통해서 또 바이러스 메일이 전파되었을지도 모르고.
컴퓨터로 뭔가 생산적인 일만 해도 우리나라 IT 개발자들은 격무와 야근에 시달리는 중인데, 정말 더럽게 할 일 없어서 이런 거나 만들어 퍼뜨리는 국내외의 바이러스 제작자들은... 제발 정신 차리고, 해충 같은 짓 하지 말고 세상에 좀 도움이 되는 일이나 했으면 좋겠다.
Posted by 사무엘
