'트로이목마'에 해당되는 글 2건

  1. 2008.08.19 바탕화면 바꾸는 스파이웨어 AntivirusXP2008 (1)
  2. 2008.06.25 루트킷 스파이웨어 flec006.exe와의 사투 (4)
응용프로그램2008.08.19 00:12

이건 지난번에 걸렸던 루트킷 flec006.exe에 비하면 상당히 귀여운(?) 수준의 스파이웨어였다. 먼저 감염되면 바탕화면이 파랑색 배경과 다음의 촌스런(!) 이미지로 바뀐다.

정말 촌스럽다!!

정말 촌스럽다!!


그리고는 AntivirusXP2008라는 매우 수상한 소프트웨어를 설치하라고 강요한다-_- 당황해서 바탕화면 속성에 들어가면 바탕화면과 화면보호기 탭이 사라져서 설정을 변경할 수가 없게 된다. 그래서 먼저 지난번에 소개했던 X-Cleaner(마이크로 버전)을 실행해서 뭔가를 하나 치료했고, 다음에 AVG를 돌려서 또다시 치료했다. AVG 명명법에 의하면 이 스파이웨어는 trojan horse SHeur.CCRZ라고 하는데 이걸로 검색해보면 지금 시각으로 피해사례가 2건 나온다.

헌데 치료한 후에도 바탕화면 속성에는 바탕화면과 화면보호기 탭이 여전히 없었다. 이는 스파이웨어가 바꿔놓은 레지스트리 때문으로, HKCU>Software>Microsoft>Windows>CurrentVersion>Policies>SystemNoDispBackgroundPageNoDispScrSavPage 값을 지워주면 해결된다.


다음 글들을 참고할 것(모두 새창).



Posted by 필유
응용프로그램2008.06.25 00:38

당나귀에서 받은 실행파일을 무심코 클릭했다가 아주 징그러운 바이러스(멀웨어 혹은 스파이웨어 혹은 트로이 목마)에 걸려버렸다. 그 무섭다는 소문의 루트킷(rootkit) 종류의 스파이웨어였는데, 덕분에 이틀 동안 사투를 벌였다. flec006.exe로 웹을 검색해보면 무수한 피해사례가 나오는데, '100% 완벽한 복구는 불가능하다'라는 결론이 지배적이었다.

내 경우 즉각 확인할 수 있던 증상은 다음과 같았다.


  1. flec006.exe, mdelk.exe, hldrr.exe 등의 프로세스가 상주한다. 강제 종료할 수 없다. 이것들은 시작프로그램에도 동시에 등록된다.
  2. 안전모드로 부팅하면 블루스크린이 뜬다.
  3. 인터넷이 느려진다-_-
  4. 잘 실행되던 백신 프로그램 등이 실행되지 않는다(내 경우 아바스트 홈 에디션과 CCleaner 등)
  5. '탐색기>폴더 옵션>보기>고급 설정'에서 '숨김 파일 및 폴더 표시 안함' 설정이 사라진다. 따라서 숨겨진 파일을 볼 수 없게 된다.


그래서 탐색기 대용으로 사용하던 flyExplorer로 조사한 결과 다음과 같은 증상을 더 발견했다.


  1. C:\Documents and Settings\사용자 이름\Application Data 폴더 밑에 임의의 폴더가 생성되고 수상한 파일들이 들어찬다. m일 때도 있고 james일 때도 있고-_- 랜덤한 문자열이었다.
  2. C:\windows\sysmem32\drivers 폴더에 flec006.exe, mdelk.exe, hldrr.exe 등의 파일이 생성된다. 동시에 down 어쩌고 폴더(역시나 랜덤한 문자열)가 생성되며 이곳에 수상한 파일들이 차곡차곡 다운된다.


나중에 알게 됐지만 그외에도 서비스라든가 레지스트리를 '심각하게' 건드리는 바이러스였다. 웹을 뒤져본 결과, 그리고 홀로 이것저것 다 해본 결과 효과가 있었던 해결책은 다음과 같다. 물론 내 경우에 효과가 있었다는 얘기다.


  1. X-Cleaner (마이크로 버전) 검사 및 치료.
  2. 레지스트리 파일로 안전모드 복구. 이제 다시 안전모드로 부팅할 수 있다.
  3. SDFix 검사 및 치료.
  4. ComboFix 검사 및 치료. (프로세스에 바이러스가 상주해 있으면 실행이 안 된다)
  5. AVG 설치, 전체 검사, 치료. (프로세스에 바이러스가 상주해 있으면 설치조차 안 된다)
  6. 탐색기 폴더 옵션 복구. 안타깝게도 복구를 했는데도 내 경우에는 이렇게 나오더라. 그래도 이게 어디냐...
    사용자 삽입 이미지


참고한 문서는 다음과 같다.


  1. infected with flec006.exe 이 문서에서 큰 도움을 얻었다. 해외에서는 HijackThis가 스파이웨어 분석에 있어 거의 핵심적인 툴로 사용되는 듯하다.
  2. hidrr.exe and flec006.exe and exefld 비슷한 내용이다.
  3. 바이러스 hlrrr.exe mdelk.exe srosa.sys (Trojan-Downloader.Win32/Bagle) 국내 웹에는 자세한 정보가 없는 편이었다. 백신 소프트웨어 사이트 빼고는. 이 페이지도 지금은 삭제된 듯하다.


그리고 다음은 (내 경우) 효과가 없었던 프로그램들이다.


  1. 아바스트 홈 에디션. 이건 뭐 바이러스 걸린 시점에서 실행도 안 되고... 가뿐하게 언인스톨해버렸다. 게다가 이번 일로 알게 된 셈이지만, AVG가 훨씬 더 좋다.
  2. 위 해외 문서들에서 소개하고 있는 Avenger 버전 1. 이것도 바이러스에 걸린 상태에선 실행이 안 된다. 압축파일 안에서 파일명을 바꾼 뒤에 실행을 시킬 수 있었으나 위의 문서들에서 소개한 스크립트로는 치료되는 게 없었다. 물론 내가 수동으로 flec006.exe 등의 파일을 이미 지웠기 때문일지도 모르지만. 링크 타고 가보면 버전 2를 다운받을 수 있는데 이건 안 써봐서 모르겠다. 별로 쓰고 싶지도 않고.
  3. V3+ Neo 최신 버전. 혹시나 했는데 역시나... 전혀 바이러스를 검출하지 못 했다.
  4. VundoFix. 속도도 느리고 바이러스도 검출해내지 못 했다.


한 가지 운이 좋았던 건, 내가 인터넷 임시파일 폴더를 램디스크에 잡아놓았다는 점이었다(알다시피 램디스크는 재부팅할 때마다 싸그리 날아가버린다). 하지만 웹서핑 중에 바이러스에 걸린 건 아니니까 별 상관 없는 듯하기도...


어쨌든 이번 일로 수상한 실행파일은 절대 클릭하지 말아야겠다는 교훈을 새삼 확인했다. 문제의 파일은 모 게임의 크랙 파일이었는데, 엄청나게 마이너한 게임인데다가 당나귀에서도 소스가 10개도 안 되는 파일이었음에도 불구하고 바이러스에 걸려있었다니... 충격일 따름이다-_-



Posted by 필유