내 PC에서 바이러스나 웜(Worm)이 활동하는 지 여부를 확인하는 방법


  • 윈도우에서 도스 모드(시작 -> 프로그램 -> MS-DOS)를 선택한 후 아래 명령을 준다. (XP라면 시작 -> 실행 -> cmd <Enter>)

      netstat 또는 netstat -n<Enter>


  • 아래와 같은 화면이 나온다.




C:\WINDOWS>netstat -n

Active Connections

Proto Local Address Foreign Address State
TCP 192.168.77.243:1025 192.168.77.242:139 ESTABLISHED
TCP 192.168.77.243:1040 192.168.77.242:23 ESTABLISHED
TCP 192.168.77.243:1382 192.168.62.140:23 ESTABLISHED



  • "Foreign Address" 난에 자신이 연결하지 않은 사이트의 IP 주소가 나타나면 일단 웜이나 바이러스를 의심해야 한다.
  • Foreign Address 아래의 w.x.y.z:XXXX 에서 w.x.y.z가 자신이 연결하지 않은 IP 주소이고 XXXX가 위의 목록 중 Worm 에 "dst:" 에 지정한 번호와 일치하면 웜에 감염되어 있다. (XXXX가 destination 포트 번호이다)

    "State" 아래에 Syn.. 이 여러 개 나오고 그 사이트가 자신이 연결하지 않은 사이트라면 웜 또는 바이러스에 감염되어 있을 가능성이 높다.


  • "Foreign Address"에 나오는 IP 주소가 어떤 사이트인지 알고 싶으면 맨 위의 "Whois 검색" 을 이용하십시오.("Local Address"는 내 PC의 IP 주소이다.)

라이브라가 설치된 경우 메뉴에서  t0. 로칼 트래픽 사용량 상세 보기 를 선택하면 웜에 감염된 피시를 찾을 수 있다.

아래 라이브라 캡쳐 화면을 보면 10.10.11.27 IP 주소를 사용하는 피시가 blaster 웜에 감염되어 인터넷으로 감염 시도 패킷을 내 보내는 것을 알 수 있다. 10.10.11.27 피시의 Flags 가 "S" 이므로 이 피시가 연결을 시도하고 있다. 그리고 상대방 피시의 포트 번호가 135/tcp 인데 이 포트는 blaster 웜에서 사용한다. (이 화면은 VPN 접속자 화면을 캡쳐 했으므로 iface 가 ppp5 로 나온다. 로칼인 경우 eth0 가 맞다.)


내 PC에서 웜바이러스 감염여부 진단하기

댓글 남기기

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다