Go Slowly For More Faster: 5월 2010

짜증이 퐉~난다…왜이따구 뷩신짓을 내가 하고있는지 모르겠다….아….

이틀전부터 컴터 인터넷이 안됬다..이상하게 아웃룩도 자꾸 뭔가가뜨고있었다.

맨처음 컴터 포맷했을 때 나타나던 현상이 다시 나타나기시작한것이다. 찜찜했다.

흠…

여러 번 부팅을 했다. 그러면서 MacAfee도 여러 번 검사하고 업데이트했다.

드디어 뷩신이 뭔가 찾은듯 했다. mdf6.exe 뭐냐이건..

구글을 뒤졌다. 이상 잡다구레한 프로그램들이 떳다. 욕나왔다…

나한테는 전혀 시잘때기 없는 플그램들..

(지금 내가 이렇게 한가하게 딴짓거리할 시간이 없는디..)

포맷이 가장 훌륭한 해결책이다. 근데 지금 못한다. 씨…8월달에 돌아가는데 언제 하냐… 그래서 기어이 문제를 찾아야겠다는 생각이 머리를 머리통을 조여온다. 회사 프로그램들 언제 구해서 언제 설치하고 언제 셋팅하냐..짜증이 팍~~!!!!!!몰려온다.

이상 서론끝!

몇일을 찾았다…도데체 뭐가 문제일까

[증상]

1. 아웃룩에서 메일내용이 드래그가 안된다. 복구시도했다. 안된다. 설치파일 넣으랜다.

파일없다. . 회사에서 깔아줄 때 지웠나보다. 아놔~!

2. 익스플로러창에 입력이 안된다. 커서가 안보인다. 마우스 우측키 안먹힌다. 오~!!!!이~!!!! 이런 미친 개XXX~~~~!!! 뭐냐이건.

3. 윈도우, 익스플로러 업데이트 시도했다. 소용없다. 인터넷익스플로러 업그레이드 안된다. 무슨이유일까? .

4. 그래서 firefox깔았다. 된다~!!!!!! 된다!! 된다! 근데 구동이 짜증난다. 나한테는 익숙하지가 않다… 다시 익스플로러에게 욕한다. .

5. 익스플로러 열어본다. 에러 번호 157과 127. 이런……

이제는 메모리도 맛갔다고 말해준다. 미치겠구만..

6. 폴더 익스플로러열어본다. 돌아가시겠다. 에러창나오면서 닫힌다. 흠.

슬슬 악발이 생긴다……………………………….

찾아서 조사뿐다.!!!!!!!!!!!

안되는 머리 쥐어짜서 찾고 또 찾았다. 100%고칠수있다고 장담못하지만. 어쨌든 찾을때까지 찾아봤다.

1. 시작 - 실행 - "cmd"

2. cd\WINDOWS\system32 친다

3. dir/ah 라고 치시면 몇개의 숨겨진 파일들이 뜬다.

4. ieban이라던가 cyban 뭐시기들..

5. "attrib -s -h -r 파일이름.확장자" 친다.

6. "del 파일이름.확장자" 치면 지워진다.

7. 독한놈들은 안지워진다. 우짜지????

그래도 혹시나해서 백신프로그램하나 깔아서 스캔했다.

아니나 다를까 뷩신 MacAfee가 못잡는거 찾고있다. 허…..참…

루트를 찾아가보니 ..앵????!!!!! 없는디?

아하…이노무 쉐키들은 안보인다.

폴더옵션으로 설정해도 설정이 안먹히지!!

그래서 flyfolder로 보이게 했더니 보인다! 지워야지!!! 안지워진다. …ㅡㅡ;

Prevx녀석이 찾는동안 이 뷩신 메가피는 키젠이나 찾고 앉았다…

찾은건 있다. A0047500.exe, A0047504.exe이놈들은 레지스트리에 잠식해서 자신을 자꾸 복사하고 옮긴다. 미친 개XXX

그동안 문제의 ieban(숫자).dll , cyban.exe 찾아서 지우고 나니 이제서야 메가피녀석이 지운거 찾아낸다. 지우니까 다른이름으로 나타나네…ㅋㅋㅋ

그래서 알약도 깔아본다.

이놈은 뭔데 자꾸 뜨냐…

지우자 지우자…

Start/ run/ cmd

dir/ah

아하.. 이런 시부렁새들 요기 숨어있다.

C:\>notepad autorun.inf

메모장이 열리면서 autorun=1wx.exe가 나온다. ß 개미친xxx 머리좋네..ㅡㅡ

지우려해도 안지워진다.

그럼 파일속성을 해제시키고 접근한다.

Attrib –s –h –r autorun.inf

Del autorun.inf

Attrib –s –h –r 1wx.exe

Del 1wx.exe

지웠다. ㅎㅎ

확인사살

또 생겼다. 지우자..지우자..

dir/ah

확인사살

이제는 좀 끝내자..!!! 힘들다..지친다..

참고로 혹시나 regedit에서 zhido.exe 도 검색해본다. 있으면 삭제.

그리고 도스에서도 각 드라이버별로 숨김파일 검색해서 있으면 삭제.

이 파일들을 바로 지울수는 없고(숨김파일이나 시스템 파일은 그 속성을 해제해 줘야 삭제된다),

c:\windows\system32>attrib -s -h -r 파일명

명령으로 속성을 해제한후 삭제하니 삭제가 되었다.

c:\windows\system32>del 파일명

폴더옵션에서 '숨김파일 및 폴더 표시','보호된 운영 체제 파일 숨기기(권장)' 항목을 체크해도,다시 열어보면 체크가 항상 해제되더라. 이 바이러스가 얼마나 강력한지 이런 사용자 옵션을 방해해서 숨김파일을 보지 못하도록 막는것이다.

그전에 감염되었던 USB 메모리로의 감염파일은 이런 설정까지 막지는 못했다. 폴더나 파일의 숨김파일 보기를 체크해서 보면 보였었는데, 이번 바이러스는 이 설정을 아예 막아버려서, 설정한후 '적용','확인' 해줘도, 다시 열어보면 원위치 되어버린다.(즉, 숨김파일 보기 기능을 막음) 즉, 바이러스가 메모리에 상주해서, 윈도우에 지속적으로 간섭을 하며 방해한다는 의미로 볼 수 있다.

추가 파일 cyban파일 softqq 파일은 v3가 찾아서 지우는데 상위 파일들이 겹겹이 있다.

ahnrpta.exe (작업관리자창에서 확인)은 unlocker로도 삭제가 안되

===================[펌] 안철수 연구소 바이러스보고서================

증상 및 요약

Win-Trojan/Malware.100180 는 실행되면 윈도우 폴더에 AhnRpta.exe와 윈도우 시스템 폴더에 softqq0.dll를 생성하고 자신을 레지스트리에 등록하는 트로이 목마이다. 상세정보 * 전파 경로

자체 전파 기능은 없으며 사용자가 메일, 메신저, 게시판, 자료실 등에서 실행 파일을 다운로드 해 실행하거나 다른 악성코드(웜, 바이러스, 트로이목마)에서 설치하는 것으로 보인다.

* 실행 후 증상

[파일 생성]

윈도우 폴더에 다음 파일을 생성한다.

- AhnRpta.exe

주) 윈도우 폴더는 시스템마다 다를 수 있으며 보통 윈도우 95/98/ME/XP는 C:\Windows, 윈도우 NT/2000은 C:\WinNT 폴더이다.

윈도우 시스템 폴더에 다음 파일을 생성한다.

- softqq0.dll

주) 윈도우 시스템 폴더는 사용 윈도우에 따라 다르며 보통 윈도우 95/98/ME는 C:\Windows\System, 윈도우 NT/2000은 C:\WinNT\System32, 윈도우 XP는 C:\Windows\System32 폴더이다.

[레지스트리 등록]

레지스트리에 다음 값을 추가해 윈도우 시작 시 자동으로 실행되도록 한다.

HKEY_LOCAL_MACHINE\
SOFTWARE\
Microsoft\
Windows\
CurrentVersion\
Explorer\
ShellExecuteHooks
{B03A4BE6-5E5A-483E-B9B3-C484D4B20B72} = "hook dll rising"