[멍멍님의 답변]

넷버스(Netbus)는 다른 사람이 원격에서 내 컴퓨터를 조정할 수 있는 크래킹 도구입니다.
이처럼 다른 사람의 컴퓨터를 몰래 조정할 목적으로 제작된 크래킹 도구를 트로이 목마라고 부르며,
넷버스 트로이 목마는 다른 것들에 비하여 사용 방법이 간단하기 때문에 컴퓨터에 대한
기본 지식이 없는 사람들도 쉽게 악용할 수 있습니다.

넷버스 서버의 감염 여부를 확인하려면 다음의 절차를 거칩니다.
다음의 5가지 경우들 중 하나 이상 해당하는 항목이 있다면 감염되었을 가능성이 존재합니다.

1. c:\windows, c:\winnt 등 Windows가 설치된 폴더에 KeyHook.dll 파일이 있는지를 확인합니다.
EX) dir c:\winnt\keyhook.dll
만약 있다면, 현재 넷버스에 감염되어 있거나, 과거에 한 번 이상 넷버스에 감염된 적이 있다는
것을 의미합니다. (이는 사용자의 키보드 입력을 훔쳐보는 역할의 파일입니다.)

2. 또 다른 방법으로, c:\windows 혹은 c:\winnt 폴더에 patch.exe가 존재하는지를 확인합니다.
만약 있다면 위와 동일한 상황이며, 이 patch.exe라는 파일명은 공격자가 임의로 변경할 수 있으므로
이 파일이 없다고해서 무조건 넷버스 공격으로부터 안전한 상태는 아닙니다.

3. 시작 - 실행 - cmd 혹은 command 라고 입력한 후 엔터키를 누릅니다.
MS-DOS 창이 나타나면, netstat -an 이라고 입력한 후, 결과를 살펴봅니다.
이 때, 인터넷에 연결된 프로그램이 많을 수록 결과 또한 많이 분석이 복잡해지니 익스플로러 등
인터넷에 연결된 프로그램을 최대한 종료시킨 후, 접속 상태가 완전히 해제 될 때까지 5분 정도
기다린 후에 명령을 입력합니다. 출력된 결과들 중, Local Address 부분에 :12345 라는 숫자가
보인다면 넷버스에 감염되었을 가능성이 매우 큽니다. 하지만, 이 숫자(포트 번호) 역시 공격자가
임의로 변경할 수 있으므로 :12345이 보이지 않는다고 해서 감염이 되지 않았다고 확신할 수는 없습니다.

4. 위 netstat -an 명령을 입력하여 나타난 결과들 중, TCP 0.0.0.0:PORT 형식으로 출력되는 부분들의
PORT 번호들은 현재 내 운영체제가 OPEN한 포트들을 보여줍니다. 이 포트들엔 MS-DOS의 TELNET 명령 등을
이용하여 접속하는 것이 가능합니다. 위의 PORT들부터 차례대로 접속을 시도해보고, 만약 접속 성공
후 NETBUS라는 문자열이 나타나면 넷버스 서버에 감염된 것입니다.

5. 현재 넷버스에 감염되어 있는지 알 수 있는 가장 확실한 방법으로서, 시작 - 실행 regedit를
입력한 후, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVerstion\Run 으로 이동합니다.
그 곳에 만약 c:\windows\???.exe /nomsg 혹은 c:\winnt\???.exe /nomsg 와 같이 어떠한 실행 파일명
뒤에 /nomsg라는 인자가 입력된 것이 있다면 넷버스에 감염된 것입니다. 위에서 ???.exe 부분은
공격자가 임의로 변경할 수 있으나 일반적으로 patch.exe 입니다.

넷버스 서버에 감염된 것이 확실하다면 다음의 절차를 통해 제거합니다.
위 5번 단계에서 알아낸 넷버스 서버의 파일명을 확인한 후, MS-DOS 창을 열고 다음의 명령을 입력합니다.

EX) c:\winnt\netbus.exe /remove

위처럼 파일명 뒤에 /remove 인자를 입력해주면 실행 중인 넷버스 서버가 종료되고, 이후에도 자동
실행되지 않습니다. (하지만, KeyHook.dll과 서버 파일 자체는 그대로 남습니다.)

이상입니다.