Windows XP SP3 환경입니다.

본인의 경우 와우 OTP를 일주일에 한번 꼴로 실행되도록 설정해 놨었는데, 매번 접속할 때마다 OTP를 요구하길래 검사를 해 봤습니다. 결과는

C: ＼ Windows ＼ _MSRSTRT.EXE
C: ＼ Windows ＼ temp.tmp
C: ＼ Windows ＼ system32 ＼ temp.tmp

이 세개의 파일이 와우를 비롯한 온라인 게임 계정/비밀번호 탈취용 악성 프로그램입니다.

모두 svchost.exe 에 등록되어서 부팅 시 실행이 됩니다.

즉, 백신 보다 먼저 실행 되기 때문에 백신의 실시간 감시에서 걸리지 않습니다.


C: ＼ Windows ＼ _MSRSTRT.EXE

는 V3 유료 버전으로 검색 및 치료(삭제)가 가능합니다만

나머지 2개의 파일인

C: ＼ Windows ＼ temp.tmp
C: ＼ Windows ＼ system32 ＼ temp.tmp

V3 유료 버전에서 검색이 가능하지만 삭제는 불가능합니다.

이 두 파일은 일반적인 방법으로는 삭제가 불가능합니다.
아마도 C: ＼ Windows ＼ _MSRSTRT.EXE 를 먼저 제거한 후 안전모드로 재부팅해서 삭제해야 할 듯 싶습니다.

본인의 경우는 다른 운영체제인 우분투를 사용해서 삭제했습니다.



---

*. 잡담 추가

이 키로거는 와우 로그인을 방해하지는 않지만, 키로그 수집 후 어느 순간에 일괄적으로 전송합니다.
때문에 매번 와우 접속 시 OTP 입력 요구 사항이 나왔던 것 입니다. 즉, OTP 사용을 설정 해 놨기  때문에 해킹을 막은 경우가 되겠습니다.


좀 더 발전된 형태의 키로거였다면 다른 형태의 피해가 생겼을 수도 있겠습니다.
부팅 시 백신보다 먼저 실행되기 때문에 백신이 무용지물이 되어 버리니깐....


우분투(리눅스)에서 와우를 하면 이런 키로그 같은 악성 프로그램은 실행조차 안 되어서 편하고 좋았는데, ....
초기 와우는 OpenGL 지원을 잘 해주더니 가면 갈수록 소원해지니.....