이
파일에 대한 정보를 검색해 보았으나 정확히 아는 사람이 없었다. 이 파일은 우리나라 뿐만 아니라 해외에 사람들도 마찬가지로
궁금해하는 파일이었다. 직접적인 영향을 주는 파일은 아니지만, 확실한 점은 이 파일을 이용해서 악성 바이러스 및 애드웨어가 이
파일을 이용한다는 점은 분명하다. 원래 윈도우 시스템에는 사용되지 않는 파일로 삭제해도 무방하다.
IFinst27.exe
이 파일은 직접적인 관련성은 없으나 특정 프로그램을 설치 삭제하는 관련된 파일이다. 이에 대한 검색해보니 Install
Factory(인스톨팩토리) 프로그램 및 기타 애드웨어, 인터넷익스플로어 툴바 설치 및 광고성 프로그램 설치 시에도 사용이 되는
것 같다.
* 설치 경로 추적 :
IFinst27.exe 이 파일의 설치된 경로를 추적해보기로 하였다.
파일의 생성 수정 날짜로 내 컴퓨터에서 검색해 보았다. 동일한 시간대에 발견된 파일과 그때 했던 인터넷 서핑 작업 기록들을 살펴보았다. 추적하면서 몇 가지 사실을 발견했다.
웹서핑을 하면서 특정 웹사이트에서 ActiveX(액티브엑스) 컨트롤을 설치했던 시간과 IFinst27.exe 프로그램이 생성된 시기가 동일하다는 점이었다. 그 설치된 액티브엑스는 아래와 같다.
HSDNConfig.ocx : 이 엑티브엑스 컨트롤은 효성CDN 에서 제작되었다고 나와있으며, 그 당시 그 회사 관련된 우회한 홈페이지를 검색한 적이 있었는데 그때 설치된 것 같다.
아마도 이 액티브엑스를 통해서 IFinst27.exe 와 p3xsvr.exe 모듈, p3xfer.dll, p3xferAX.dll 등이 설치된 것으로 보여진다. p3x 관련 프로그램들은 각종 게임 설치 시에도 설치되는 프로그램으로 알고 있다. 오디션, 다크에덴 게임 등에서 사용되는 것으로 검색이 된다.
또
한, IFinst27.exe 는 트로젠(Trojan) 바이러스 설치 시에도 사용되는 것으로 보여진다. 그리고 인터넷브라우저에
광고툴바 설치하는 ActiveX 컨트롤 설치 시에도 이용되는 것으로 보여진다. 이를 보면 이 파일은 프로그램의 설치 시 관련된
작용을 하는 파일인 것을 알 수 있다.
IFinst27.exe
파일이 바이러스는 아니라고 할지라도 특정 프로그램(바이러스)이 이 파일을 이용하여 악성코드를 설치할 수 있다는 것을 의미한다.
즉, 이는 곧 IFinst27.exe 가 직접적인 바이러스는 아니라하더라도 취약점이 있는 코드가 숨어 있다는 것을 의미하므로
되도록이면 삭제하는 것이 바람직하다.
* 정황 분석 :
그
당시 휴대폰으로 익명의 사람으로부터 문자메세지가 왔고 특정 웹페이지 주소가 적혀있었고, 의아해서 해당 웹페이지에 접속한 적이
있었다. 효성CDN 홈페이지 서버 상에 있는 비공식 웹페이지로 우회한 주소로 접속이 된 적이 있었다. 아마도 효성CDN 서버에
파일을 올릴 수 있다는 것은, 효성CDN 홈페이지를 관리하고 있는 사람 중의 한명이 아닐까 추정이 된다. 그 사람이 왜 나에게
이런 문자메세지를 보낸 것이며 어떤 이유로 이 홈페이지에 접속을 유도한 것일까? 나는 그 당시 이상하게 생각은 했으나 그냥
넘어갔는데 오늘 검색해보니 악의적인 의도가 있다는 것을 알 수 있었다.
최근 내 컴퓨터에 비정상적인 일들이 발생하였고 특정 게임 사이트의 비밀번호가 유출된 것을 짐작해볼 때 어느정도 관련성이 있다고 생각이 되었다.
