무진군의 골 때리는 세상 보기

 Packed.Win32.NSAnti.p이런이름의 바이러스에 걸렸다. 웹서핑 중에 걸릴 수 있다고 하는데... 역시나 유니큐어를 사용했는데 뚫렸고 어디에 문제가 있어서 걸렸는지 심증도 가지 않는다. 출근 하자마자 갑자기 경고를 받았으니..ㅡㅡ;;

감염 위치는 windows\temp\와 C:\Documents and Settings\사용자명\Local Settings\Temp이 두군데 이며 생성 파일은..
다음과 같다.
fpunwjz.dll
taso0.dll (0이란 숫자는 계속 증가하면서 생성)
taso.exe파일
해서 총 3개의 파일이 생성 된다.. 생성하고 있는 주체 파일을 찾을 수가 없기 때문에.(레지스트리도 깔끔하다.
시작프로그램에 tasa라는 이름으로 taso.exe파일을 실행하도록 되어 있는데...ㅡㅡ;
삭제 하면 다음에 또 생성되고 생성되고를 반복 하고 있다..
극약 처방으로 다음과 같은 방법으로 해결을 보았다.
(위의 세개파일을 메모장에서 만든다음에 0byte짜리 보호를 걸어서 미리 만들어 놓으니 생성을 못하고 다만 taso0.dll파일만 계속 숫자를 바꾸며 생성 되고 있다.)

ㅡㅡ; 이거 어떻게 처리가 안되나?....
찜찜해서 이거야원...

음..하나더 추가oksound.dll이라는 파일이 건들고 있어서..가뿐히 삭제...
인터넷이 안되는게 아닌가? 밤 9시까지 윈도우 다시 깔고 퇴근..ㅡㅡ;
집에 와서 보니 고치는 방법이 있는 것이 아닌가?

원인이 oksound.dll이란 파일이 죽어라 자신을 복제 하면서 taso.exe라는 장난을 치고 있었고 본체는 여전히 활동중이었다는..ㅡㅡ;

삭제 하면 네트워크 설정이 전부 꼬여 버리므로 랜카드를 삭제하고 다시 설치해야 하는 문제까지 발생한다.(덮어 씌우는걸론 복구 불능....ㅡㅡ;) 치료전에 반드시 검색을 해보시고 치료를 하시는게 좋을 듯 싶습니다. (추가 사항이었습니다.)

어느분이 지식인에 까지 올리셔서 추가적으로 더 적습니다..ㅡㅡ;
거의 개인적인 경험담을 적은 것인데.. 오시는 분들이 많으신 것 같아 계속 추가를 하는군요.
마지막 부분의 네트워크 설정은.."네트워크를 삭제후에 새로 까셔야 합니다.." 라는 뜻입니다.
물론 이글이 도움이 되시는 분들은 드라이버 파일 정도는 까실줄 아시는 분들이라 생각하며, 이글을 쓴 것 자체가 누군가에게 가르치기 보다는 개인적으로 '이런일이 발생했다' 정도로 적은 것이라 불친절 하다 해도.....쿨럭..
바이러스의 유입경로는 XXX식의 프로그램이 아니라, 웹페이지 상에서 웜 혹은 엑티브 엑스 혹은 웹페이지의 스크립트로 전파 되는듯 합니다...

ㅡㅡ; 참고 하세요..(최근엔 유명한 멀쩡한 사이트도 어찌 될지 모르니 각별히 주의 바랍니다)

이번엔 회사다..ㅡ0ㅡ;;;
아놔 아침부터 바이러스에 걸렸는데 이번엔 좀 특이했다..
유니큐어와 윈도우 XP SP2 및 회사 자체 방화벽까지 있는데 한큐에 뚫렸다..
처음 눈에 들어온것은...

부천 순천향 병원 사건이라고 하길래 궁금증에 글을 읽기 위해 딱 열어 보니..

경고 norton.sys <=--가 바이러스입니다!
라고 뜨길래 음... 당연히 치료해야지... 하고 '예'를 누르니, 해당파일이 없습니다.(이것은 유니큐어의 메세지창의 내용 입니다.)

순간 스치는 불길한 생각...!!!
작업관리자를 열어 보니...허걱 rund1132.exe라는 멋진 파일이 신나게 활동 중  이고 explorer.exe 파일이 두개..ㅡㅡ;;;

레지스트리로 검색해 보니 아니나 다를까 시작 프로그램에 rund1132.exe가 등록 되어 있었다. 삭제해 주고, windows\system32\ 이곳 안에 있는 익스플로러와 rund1132.exe를 삭제해 주었다.. ㅡㅡ; 찝찝한마음에 백신 한번 다시 돌리고 검색해 보니..
"보통 해킹을 당해서 페이지만 들어가도 악성 코드로 방화벽 해제 후 다운로드로 이어져 바이러스에 걸린다"라는 내용을 발견!!!.

포스팅을 읽고 정리 해 보니, 해킹 당한 사이트의 글에 악성코드를 심어 방화벽을 무력화 시키고 강제로 백도어를 설치해 버린다. 였는데..lllOTL 이거야원.. 내가 당한 상황이 똑같다!!! 잡아야 한다.. 잡아야만 한다!!!

일일히 레지스트리를 열어 고쳐주고 파일 지워주고 강제로 열었다가 닫았다가..ㅡㅡ;
아주 생고생을 했다..

뇌X버에서 rund1132.exe로 검색하면 치료 방법이 카페나 블로그등에 소개 되어 있습니다.
영 찝찝한 상태로 회사 컴퓨터를 이용하고 있군요.

이젠 웹페이지도 조심해서 열어야 겠습니다..ㅡㅡ;
제컴퓨터에 깔렸던 놈들은 rund1132.exe explorer.exe dab1.dll 이상 3종 세트 였습니다.

전주 시청 홈페이지
데일리 서프라이즈
잘만 쿨러 홈페이지
메트로 홈페이지

..등에서도 전파되고 있습니다.
http://pikadung.egloos.com/1061711 에서 전파되는 내용 발견 주말중에 번져 나가고 있군요..'-';;;;

글자 배경색으로 칠해진 부분은
http://pikadung.egloos.com/1061711에서 발췌된 것입니다.




lsass.exe파일의 제대로된 위치는 C:\Windows\System32 디렉토리에 존재하고 있습니다. 이파일도 꽤나 단골 바이러스 의심 파일이기 때문에..ㅡㅡ;; 추가합니다.

위의 위치(system32)외에 있는 것은 의심 하셔도 좋습니다.

개인적으로 난 M$N메신져를 싫어한다..아주 저주 한다..
....외산이니까. 라기 보다는 정작 쓸만한 프로그램이 아니라는점이 크다..
메신져의 중요 기능인 파일전송이 네이X온보다 안정도가 떨어지고 이어받기가 안되기 땜시.
회사사람을 제외하고는 네X트온만 인원을 등록해서 쓰는데...
늘 무언가의 웜바이러스 주범으로 등장하시는것은 M$N 이다....
M$자체가 워낙 큰기업이니 해커 분들이 열심히 공략하는것은 이해가 가지만..이번의 프로그램은 좀 심한듯 보인다.
문제의 시발점이 되는 파일은 바로 이것 photo album.zip 인데, 안에 상콤하게도
'photo album2007.pif' 이분이 계신다..ㅡㅡ;;
이걸 설치 하면 rdshost.dll
 이파일이 생성이 되고 그다음엔 게임오버.. 그쪽 해커가 깔끔하게 털어갈수있게 백도어를
열어 주십니다. 이미 이정도 까지 가면 컴퓨터는 내것이 아닌게 된다는 것...

그런데 문제는 좀 달랐다..
마나님의 컴터에서 생성된 파일은..
rdfhost.exe

음.......변종이다..ㅡㅡ;;;
rdfhost.dll
결국 사용 상태는 똑같아서
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad 내의 rdshost 항목이 존재 한다.. 지워서 기억이 가물가물하지만..rdfhost도 역시 정상은 아니라는거.. 그리고 파일 따라 다니며 지워주는 센스를 발휘해..
박멸...
..........

이라 생각했는데 갑자기 M$N의 점유율이 30%를 넘어가며 컴터를 장악하기 시작...ㅡㅡ;

2차전에 들어갔습니다..ㅡㅡ;..
아마도 다른 이유인듯 한데.. 일단 다시 확인을 해봐야 겠지만 저정도 하면 살아나긴 힘들듯 합니다..^^;..

혹 여러분의 컴퓨터에도 있는지 검색을 해보세요^^:.
와이프를 추궁하니 실행을 한게 아니라 photo album.zip을 풀었는데 아무것도 없었다. 라고 하는걸로 봐선 정말 변종이 맞는듯 합니다.
ㅡㅡ;