중요한 시스템 파일인 rundll32.exe와 sv chost 를 위장한 웜 바이러스라고 합니다
리니지를 로그온할때 계정정보와 비밀번호를 빼가는 바이러스인데
n프로텍트에 안걸리더군요 ㅡㅡ;
혹시나 저와같은 바이러스에 걸리신 분들을 위해 씁니다
우선 이 바이러스에 걸렸는지 아닌지 확인을 해야합니다
xp이신분들 기준으로 적겠습니다
일단 윈도우 작업관리자를 띄웁니다 (Ctrl+Alt+del)
관리자에서 프로세스텝을 띄워보시고 다음과 같은 파일명의 프로세스들이 있는지
확인합니다
------------------------------------------------------------------------------
0sy~5sy.exe
rundl123.exe <ㅡ "중요" (본래 rundll32 입니다 L을 1로 바꿔치기 했죠)
sv host.exe (본래 sv chost에서 c를 뺏죠)
sv ch0st.exe (이것 역시 O를 0으로 바꿔치기 했죠)
그리고 sv chost.exe는 정상 윈도우 파일로 관리자에 3~4개 실행되있어야 정상입니다
Logo_1.exe
그리고 exeplorer.exe 가 2개 실행되 있습니다 그중 메모리 사용이 적은 것이
해킹툴입니다.
------------------------------------------------------------------------------
일단 위의 파일들이 실행되고 있다면 주저없이 프로세스 끝내기로 끝냅시다
다음은 악성 파일들을 제거해야할 차례입니다
일단 폴더 별로 지워야 할 파일들을 적겠습니다
---------------------------------------------------------------------------------
c: 에서는 logo_1 과 e1.exe라는 파일들을 삭제해줍시다
(리니지 실행중에는 리니지 아이콘 모양으로 변하더군요)
---------------------------------------------------------------------------------
window 폴더 에서는 0.log 이라는 이름의 텍스트 파일이 있습니다
그리고 파일 찾기 경로를 window 로 해서 rundl123을 검색해봅시다
rundl123은 경로가 컴퓨터 마다 바뀌는듯 해서 파일찾기로 찾는것이 편하더군요
rundl123
dab1.dll
dllf.dll
hhdll.dll
이것들을 검색후에 싸그리 지워줍니다
----------------------------------------------------------------------------------
window 폴더 안의 addin 과 config 폴더 안에 있는 짜가 버섯모양의 sv host32 파일과
rundll32.exe 가있는데 과감히 삭제해줍니다 하지만 이건 진짜 윈도우파일과
파일명이 같기 때문에 삭제가 안되는 경우가 있습니다 이부분은 아래에서 따로 설명 하겠습니다
---------------------------------------------------------------------------------
그다음 C:Program FilesInternet Explorer 폴더 안의 e1~e5 의 이름을 가진 파일들과
0sy~5sy 의 이름을 가진 파일들을 싸그리 지워줍니다
대충 이정도면 대부분의 중요한 (?) 악성 파일들은 삭제됩니다
제가 알아낸건 이정도밖에 없지만 여기 까지만 해도 악성파일들의
실행파일들이 다시 생성되지 않게 하는건
성공했습니다.. 이 바이러스를 완벽히 치료할수 있는
백신이 나오기 전까지는 이렇게라두 해야 하지 않겠습니까? -_-;;
이제 파일 삭제들은 거진 완료되었지만
아직 남은것이 있죠..
레지스트리도 정리를 해야합니다
레지스트리 여는법은 시작ㅡ> 실행 regedit 열면
여러 폴더들이 있다
거기서 HKEY_LOCAL_MACHINE / SOFTWARE / Microsoft / Shared Tools / msconfig / Startupreg 를 클릭해보면 fzg나 Rz2 같은 폴더들이 있다
과감히 삭제합니다
그리고 열려진 레지스트리의 폴더들을 다시 닫고 다음작업을 시작합시다
그대로 두고 다음 작업하기엔 머리가 딱딱아픕니다 ㅡ,.ㅡ;;
다시 레지스트리의 처음으로 돌아가서
HKEY_CURRENT_USER / SoftWare / Microsoft / Windows NT / Currentversion / Windows 폴더를 들어가면 오른쪽에 Load 라는 값이 있는데 더블클릭 해서
sv host32.exe 라는 글자가 보이면 과감히 지워주면됩니다
여기까지 했다면
전반적인 악성 파일들의 제거는 끝났습니다
다음은 아주아주아주 중요한 작업이 하나 남아있습니다 그건 따로 설명하기 위해 다음
글에서 적겠습니다
-------------------------------------
이제 남은것은
시스템 파일을 가장한 해킹 파일을 삭제해야됩니다
먼저 작업관리자를 띄웁시다
그중에 rundll32.exe 와
explorer.exe를 프로세스 끝내기로 강제 종료 시켜야 합니다
(시스템 메세지가 뜨는데 무시하고 종료하셔도 됩니다
본래 rundll32.exe는 제어판 프로그램에 관련된것인데 종료한다고 해도
제어판만 만질수 없을뿐이지 다른 프로그램과는 별다른 충돌이 없습니다)
그리고 진짜 explorer 프로그램과 가짜 해킹파일 explorer.exe 가 있는데
구별하는 방법은 작업관리자에서 실행프로그램 목록 위에보면
이미지 이름 / 사용자 이름/ CPU / 메모리 사용
이 있는데 explorer.exe 두개중에 메모리 사용양이 적은것이 가짜입니다
가짜 explorer.exe 를 종료 하시고
이제 이 두파일들을 삭제하러 가봅시다
-----------------------------------------------------------------------------------
c: 의 window/system32 안에 들어가보면 explorer.exe 로 된 메모장 모양의 파일이 있다면
과감히 삭제!
또 Program files / internet explorer 폴더 안에도 explorer.exe 가 있다면 지웁니다
본래 explorer 실행파일은 iexplorer.exe 입니다
또 혹여나 폴더 안에 e1~e5 종류의 파일이 있다면 지웁니다
-----------------------------------------------------------------------------------
가짜 rundll32.exe는
c: windows / addin 과 config 안에 숨어 있다 삭제해줍시다
만약 삭제가 안된다면 그건 작업관리자에서 종료가 아직 안된것이므로 작업관리자에서
종료 시키고 삭제 하면됩니다