최근 한 지인의 PC를 손 봐주다가 친숙한 프로세스를 보았습니다. 웹하드 이용시 자주 볼 수 있는 natsvc.exe파일로, 아주 당당하게 메모리에 상주하고 있는 상태였습니다. 이 프로세스는 사용자 PC의 자원을 이용하는 그리드 딜리버리 서비스에 사용됩니다.

친숙한 좀비 프로세스


일부 웹하드(주로 무료 쿠폰을 뿌려대는 웹하드들)의 경우 그리드 서비스의 시스템 자원 사용량이 엄청나서 악성코드라 해도 과언이 아닌데, 덕분에 저사양 pc에는 아주 치명적인 항목입니다. 사실 지인의 pc가 저사양은 아니고 사용하는 웹하드의 상태(?)가 비교적 나빠 보이지는 않았지만, 찝찝한 마음에 일단 실행을 차단하기로 하였습니다.
저도 웹하드를 사용하는지라 natsvc.exe를 차단한 적이 있었는데, 그때는 차단 방법이 아주 간단해서, 서비스 실행을 중지 후 시작 유형을 "사용 안 함"으로 설정 하기만 하면 그리드 딜리버리 프로세스가 자동 실행되는 것을 차단할 수 있었습니다. 

하지만 지인 pc에서 발견한 natsvc.exe는 나름 버전이 업데이트 되었는지, 웹하드 다운로드 클라이언트를 실행하면 서비스를 자동으로 시작하고 시작 유형을 "자동"으로 다시 설정하며 natsvc.exe 파일을 항상 재구동하는 것을 확인했습니다.

관리자 권한 문제인지 os 차이인지는 모르겠지만 윈7의 경우 재부팅하면 프로세스가 다시 상주하고, xp의 경우 재부팅도 필요 없이 바로 프로세스가 실행되버리더군요.

다시 실행된 natsvc.exe


웹하드 클라이언트의 서비스 항목 변경을 차단하던가 natsvc.exe의 실행을 차단하는 방법을 찾아야 했는데, 처음에는 윈도우 7(지인 pc가 윈7)에 도입되어 있는 Applocker 기능을 이용해서 natsvc.exe 실행을 차단하려고 했습니다. (uac 기능은 애초에 생각을 안 한게 관리자 권한으로 구동 중인지라...)

일반적인 실행 차단 방법

이 역시 관리자 권한 문제인지는 모르겠습니다만, applocker 기능도  '소프트웨어 제한 정책'처럼 서비스로 등록되어 실행되는 프로세스는 실행을 차단하지 못하였습니다.  


서비스 항목을 삭제 후 natsvc.exe를 언인스톨하기도 했는데, 이 역시 웹하드 클라이언트를 구동하는 순간 재설치되는 것을 확인하였습니다.

natsvc.exe를 재설치하는 모습


'HIPS 기능 같은 고급 기능을 이용해야 하는가' 하며 툴툴 거리고 있었는데, 해답은 생각보다 간단했습니다. natsvc.exe 파일 자체는 그대로 남긴 상태에서 서비스 항목만 삭제하면 서비스 항목을 재생성하거나 설정 변경을 시도하지 못하는 것이었습니다.

왜 그럴까 살펴보니 웹하드 클라이언트는 natsvc.exe 파일의 존재 유무를 먼저 살펴본 후 natsvc.exe 파일이 없으면 재설치를 감행하며, natsvc.exe 관련 서비스(NATService)를 항상 재설정하도록 구성되어 있습니다. 이때, natsvc.exe 파일이 존재하면 재설치를 하지 않기 때문에, 설치 과정에서만 구동되는 서비스 항목을 등록시키는 파일도 실행이 안되어 삭제된 서비스 항목을 다시 생성할 수 없언던 것입니다.

 

아주 단순한 임시방편이지만, 윈도우 자체적으로 할 수 있는 방법이 딱히 생각 안나서 일단 적용!!


참고로 natsvc.exe를 종료하고 서비스 항목을 삭제하는 방법은 아래와 같습니다.
▶ 시작->실행-> 'cmd' 입력 (XP 기준, 윈7은 시작 -> 하단 부분 입력창에 'cmd' 입력)
   이후 cmd 창에서 아래 명령어 입력
 ->   sc stop "natservice"
 ->   sc config "natservice" start= disabled
 ->   sc delete "natservice

※ 위 명령어 입력이 어렵다면 아래 배치 파일을 사용하시기 바랍니다.


제대로 입력했을 경우 아래와 같은 화면을 볼 수 있습니다. 시작시 '사용 안함' 설정은 하지 않아도 무방합니다.

참고로 꽤 오래전에 뽐뿌에서 공유했던 그리드 딜리버리 차단 배치 파일도 사용해보시기 바랍니다. 다만 아래 배치 파일의 방식도 1회성 임시방편인데다가, 오랫동안 업데이트가 안 되고 있습니다. 그리드 딜리버리용 프로세스 파일이 변경되거나 다른 이름을 갖고 있을 수도 있어 효과가 없을 수도 있지만 시스템에 특별히 영향을 주는 것도 아니어서 일단 해봐도 무방할 듯 합니다.


 




- 이상입니다.
신고
Posted by 물여우

댓글을 달아 주세요

  1. BlogIcon Sakai 2012.05.14 17:38 신고  댓글주소  수정/삭제  댓글쓰기

    이런방법도있었군요.좋은정보감사합니다

  2. 곰팅이 2012.05.16 10:35 신고  댓글주소  수정/삭제  댓글쓰기

    저도 이런 저런 방법 찾다 안되서 "그리드 스위치"를 사용하고 있습니다.
    근본적인 차단은 아니고, 실행이 되면 실행되었다고 알려주고, 정지시켜주는
    역할정도를 해주는 프로그램 인것 같더군요. (삭제라고 되어있지만 삭제는 아닌듯)
    하여튼 요즘 대부분의 웹하드들이 nat를 다 사용하는것 같더군요.
    물여우님이 말씀해주신 방법을 한번 더 도전해봐야 겠네요. 고맙습니다.

  3. 몰라 2012.05.19 13:10 신고  댓글주소  수정/삭제  댓글쓰기

    저도 그리드스위치를 사용하죠~
    근데 natsvc의 경우 사용안함으로 한다음 작업관리자에서 프로세스끝낸후
    C드라이브 -> 프로그램파일 -> natsvc폴더에 들어가서 natsvc.exe 실행파일을 삭제한후에
    새로만들기로 새폴더를 만든후 폴더이름을 natsvc.exe 이렇게 바꿔주시면 재부팅을하거나
    다시 웹하드에서 파일을 다운받을때 프로세스에 재실행 되지않죠

    • Favicon of http://arrestlove.tistory.com BlogIcon 물여우 2012.05.19 21:25 신고  댓글주소  수정/삭제

      말씀하신 부분은 나중에 웹클라 실행시 서비스 항목을 생성하게 되면 적용하려고 합니다. 과거 오토런 방지로 autorun.inf 폴더 만들듯이 사용 권한 지정해서 만들어 볼까 해요. ^^
      지금 당장은 서비스 항목 삭제만 하면 되는 아주 간단한 상황인지라~ ㅎㅎ

  4. 가군자 2012.07.20 22:17 신고  댓글주소  수정/삭제  댓글쓰기

    이것때문에 누가 다운받듯이 모뎀 불빛이 춤을 추더군요.. 일단 적용을 했습니다. 티디스크에서 쓰는 그리드더군요..다른 그리드에 비해 악성입니다..다른건 서비스항목에서 중지하면 되던데 이건 안댐

  5. 지나가다가 2012.08.17 06:01 신고  댓글주소  수정/삭제  댓글쓰기

    해당 방법으로 다른 그리드 프로그림중에 악명높은
    피망게임의 그리드동의.. 인 launchern.exe 를 해결보려고 했는데

    natscv 를 launchern 로 바꿔서 해보았으나 안되더군요

    이에 좀더 자세한 정보를 부탁드립니다.

  6. 감사합니다!! 2012.11.11 23:55 신고  댓글주소  수정/삭제  댓글쓰기

    nat 때문에 도저히 컴퓨터를 쓸 수 없었는데, 이렇게 좋은 배치파일을 만들어주셔서 쉽게 계속 되는 업로드를 막게 되었네요.!!!

  7. 감사합니다~ 2013.02.18 21:30 신고  댓글주소  수정/삭제  댓글쓰기

    감사합니다~

  8. 와우 2013.03.11 09:02 신고  댓글주소  수정/삭제  댓글쓰기

    님 같으신분 덕분에 세상이 조금이나마 좋아지는 것 같습니다 ㅎㅎ 감사합니다

  9. 그러지말고 2013.03.19 10:30 신고  댓글주소  수정/삭제  댓글쓰기

    전설의 프로그램 AVG를 쓰시는건 어떤가요? 백도어로 인식해서 잡아버리더라고요^^

  10. 임팩트아치 2013.05.06 18:29 신고  댓글주소  수정/삭제  댓글쓰기

    와 정말 감사합니다.
    알약이 저걸 삭제해도해도 자꾸 잡아내길래 무슨 악성코드인가 싶어도 찾을수가 없었는데 이렇게 해결하네요. 이걸로 제 컴퓨터 속도가 조금은 개선되길 바랍니다ㅠㅠ

    • Favicon of http://arrestlove.tistory.com BlogIcon 물여우 2013.05.08 21:42 신고  댓글주소  수정/삭제

      음 알약이 저걸 진단했었나요?
      보통 약관에 포함되어 있어서 진단하기 좀 애매했을 텐데...
      여튼 도움이 되었으면 하네요. ^^

  11. Favicon of http://antpia.com BlogIcon 깜깜해 2013.05.26 01:14 신고  댓글주소  수정/삭제  댓글쓰기

    저는 방화벽으로 natsvc.exe 의 외부 사이트 접속을 1달여간 막고 있었습니다. 막고 있었다는 사실을 오늘 발견하고, 님 방법으로 조치 했는데요.. 님 방법으로 조치하지 않고 저처럼 방화벽으로 막기만 한다면 얼마나 효과적일지 평가 부탁드립니다.

    • Favicon of http://arrestlove.tistory.com BlogIcon 물여우 2013.05.26 21:12 신고  댓글주소  수정/삭제

      기본적으로 nat의 업로드를 차단해서 시스템 리소스의 의미없는 사용을 방지하는 것이 목적이기에 방화벽으로 업/다운로드를 차단했다면 의미있는 방법이 되겠죠~ ^^

  12. 글 감사합니다 2014.09.06 13:53 신고  댓글주소  수정/삭제  댓글쓰기

    너무나도 큰 도움이 되었습니. 감사합니다

  13. 고맙습니다. 2014.10.25 15:30 신고  댓글주소  수정/삭제  댓글쓰기

    갑자기 쿨러가 엄청나게 돌아가면서 컴퓨터가 느려지더니 이것 떄문이였네요. ㄷㄷ;

  14. 굿 2014.10.27 11:38 신고  댓글주소  수정/삭제  댓글쓰기

    여러 글을 찾아보며 검색을 해봤는데 님의 이 글이 가장 상세하고 좋것 같습니다.
    저는 알약에서 방화벽으로 차단하고 있는 중입니다.
    이글에서 보니 이 방법도 유의미 하다고하셔서 그냥 이대로 둘까 합니다.
    좋은 글 감사합니다.

  15. 감사감사 2015.03.21 17:22 신고  댓글주소  수정/삭제  댓글쓰기

    방화벽 설정도 다 개무시하길래 왜그러나했더니 프로그램 자체에서 재설정되고있겄군요,
    이 방법을 사용하니까 확실하게 해결했습니다. 감사합니다.

  16. 감사합니다. 2015.06.02 04:34 신고  댓글주소  수정/삭제  댓글쓰기

    왜 자꾸 발열이 심하지? 라고 의문이 나던 중 리소스모니터 보니까

    요놈이 CPU 50퍼나 잡아먹고 있어서 이런 ㅅㅂ 하던 도중에 완전한 해결책을 보았네요

    감사합니다.

  17. 참간단한것을 2015.06.26 01:28 신고  댓글주소  수정/삭제  댓글쓰기

    natservice 언인스톨 후, NAT Service 폴더 생성, 보안 > 편집 > 어드민 > 전체거부 해 버리면 절대 설치 안 됩니다.

  18. 우어아 2016.01.05 15:34 신고  댓글주소  수정/삭제  댓글쓰기

    잘되네요 거의 80퍼센트 점유율 가지고 있었는데 바이두 넷하드 다운로더 때문이었을까요. 웹하드도 안쓰고 그리드 필요로하는 게임도 안하는데. 그리고 윗분이 말씀하신 보안 편집했더니만 관리자나 사용자나 폴더에 아예 접근 권한이 없어졌네요.. 이거 괜찮은건지




티스토리 툴바