norton.sys 바이러스!!
페이지 정보
작성자 서방님 댓글 2건 조회 395회 작성일 07-04-06 18:17본문
경고 norton.sys <=--가 바이러스입니다!
라고 뜨길래 음... 당연히 치료해야지... 하고 '예'를 누르니, 해당파일이 없습니다.(이것은 유니큐어의 메세지 창내였습니다.)
순간 스치는 불길한 생각...
작업관리자를 열어 보니...허걱 rund1132.exe라는 멋진 파일이 돌고 있고 explorer.exe 파일이 두개..ㅡㅡ;;;
레지스트리로 검색해 보니 아니나 다를까 시작 프로그램에 rund1132.exe가 등록 되어 있었다. 삭제해 주고, windowssystem32 이곳 안에 있는 익스플로러와 rund1132.exe를 삭제해 주었다.. ㅡㅡ; 찝찝한마음에 백신 한번 다시 돌리고 검색해 보니..
보통 해킹을 당해서 페이지만 들어가도 악성 코드로 방화벽 해제 후 다운로드로 이어져 바이러스에 걸린다는 것이었다.
포스팅을 읽어 보니, 해킹 당한 사이트에 악성코드를 심어 방화벽을 무력화 시키고 강제로 백도어를 설치해 버린다. 였는데..lllOTL 이거야원..
일일히 레지스트리를 열어 고쳐주고 파일 지워주고 강제로 열었다가 닫았다가..ㅡㅡ;
아주 생고생을 했다..
뇌X버에서 rund1132.exe로 검색하면 치료 방법이 카페나 블로그등에 소개 되어 있습니다.
영 찝찝한 상태로 회사 컴퓨터를 이용하고 있군요.
이젠 웹페이지도 조심해서 열어야 겠습니다..ㅡㅡ;
제컴퓨터에 깔렸던 놈들은 rund1132.exe explorer.exe dab1.dll 이상 3종 세트 였습니다.
전주 시청 홈페이지
데일리 서프라이즈
잘만 쿨러 홈페이지
메트로 홈페이지
..등에서도 전파되고 있습니다.
http://pikadung.egloos.com/1061711 에서 전파되는 내용 발견 주말중에 번져 나가고 있군요..'-';;;;
글자 배경색으로 칠해진 부분은
http://pikadung.egloos.com/1061711에서 발췌된 것입니다.
lsass.exe파일의 제대로된 위치는 C:WindowsSystem32 디렉토리에 존재하고 있습니다. 이파일도 꽤나 단골 바이러스 의심 파일이기 때문에..ㅡㅡ;; 추가합니다.
위의 위치(system32)외에 있는 것은 의심 하셔도 좋습니다.
댓글목록
서방님님의 댓글
서방님 작성일
NOD32 -> 검출 안됨<BR>Virus Chaser -> 검출 안됨<BR>Avast! -> 차단을 하지만 뚫고 들어옴<BR>Kaspersky -> 유일하게 방어가 가능<BR><BR>주 감염 경로는 Windows와 system32 폴더, Local SettingsTemp 폴더, 그리고 인터넷 임시 폴더 입니다.<BR><BR><BR>
<BLOCKQUOTE>D.exe<BR>M.exe<BR>T.exe<BR>dab1.dll<BR>가짜 explorer.exe (이놈은 system32 폴더로 침투)<BR>가짜 lsass.exe (이놈은 windows 폴더에 침투)<BR>norton.sys<BR>ntsys.exe<BR>rund1132.exe<BR>tiny.exe</BLOCKQUOTE>V3 최신버전(2007.04.01)으로는 되더군요 <BR>그리고 반드시 system32폴더에서 위의 파일을 찾아서 클릭한번해주면 없어집니다. <BR>반드시 재부팅...(explorer.exe가 정상적으로 동작하지 않음) <BR><BR><br />
서방님님의 댓글
서방님 작성일
<P><FONT color=#333333>익스플로러 오류? 아니 이제 막 바탕화면 뜬 상태에서 아직 인터넷브라우저를 실행시키지도 않았는데 무슨 오류? 걍 경고창 무시하고 바이러스 치료하고 혹시나 해서 전체 스캔을 돌려보니 뭐 걸리는게 없어서 마음을 놓았습니다.</FONT></P>
<P><FONT color=#333333>그런데 무언가 개운치 않은 기분이 들어서 다시 재부팅해보니......</FONT></P>
<P><FONT color=#333333>동일한 현상이 반복되더군요.</FONT></P>
<P><FONT color=#333333>아 이런...... -.-</FONT></P>
<P><FONT color=#333333>백신의 치료보고서를 자세히 살펴보니 alg.exe가 감염되었다고 나오길래</FONT></P>
<P><FONT color=#333333>검색을 해보니 <FONT color=#ff0000><STRONG>c:windows</STRONG>에 있는 <STRONG>alg.exe</STRONG></FONT>는 바이러스니 안전모드에서 삭제하고 <STRONG>c:windows/system32</STRONG>에 있는 동일이름의 파일은 방화벽 관련 파일이라 삭제하면 안된답니다. 실제로 파일 속성을 보니 system32에 있는 건 Application Layer Gateway Service이란 설명이 달려있고 저작권도 마이크로소프트사가 갖고 있는 걸로 나오는데 c:windows에 있는 것은 아무 설명도 없네요.</FONT></P>
<P><FONT color=#333333>이왕 검색해본 김에 뜬금없는 <STRONG>explorer.exe</STRONG> 오류창에 대한 의문도 풀 겸해서 이것도 검색해보니 </FONT><FONT color=#333333>허걱! 이것도 바이러스랍니다. </FONT><FONT color=#333333>이건 <STRONG>c:windows</STRONG>에 있는 건 정상적인 파일이고 <STRONG><FONT color=#ff0000>c:windows/system32</FONT></STRONG>에 존재하는 건 바이러스니 역시 삭제해야 된답니다.</FONT></P>
<P><FONT color=#333333>마지막으로 혹시나 해서 작업관리자 띄워서 프로세스들을 확인해보니 안보이던 프로세스 하나가 보입니다. <STRONG><FONT color=#ff0000>rund1132</FONT></STRONG>. 이거 잘못 보면 <STRONG>rundll32</STRONG>와 헷갈리기 쉬운데, d 다음에 오는 게 <FONT color=#ff7635><STRONG>숫자</STRONG></FONT> <STRONG><FONT color=#ff0000>11</FONT></STRONG>인지 아님 <STRONG>알파벳 L의 소문자</STRONG> <STRONG>ll</STRONG>인지 잘 구별해야 해요. 아뭏든 이것도 바이러스라네요. </FONT></P>
<P><FONT color=#333333>어찌됐든 이것도 안전모드에서 <FONT color=#ff0000><STRONG>system32</STRONG>폴더에 있는 걸 삭제</FONT>(주의:<STRONG>rundll32</STRONG>는 정상적인 파일이니 삭제하면 안됩니다.)해 버렸어요.</FONT></P>
<P><FONT color=#333333>대충 처리방법을 요약해보면</FONT></P>
<P><FONT color=#333333> </FONT><FONT color=#333333><STRONG>안전모드로 들어가서</STRONG></FONT></P>
<P><STRONG><FONT color=#333333> c:windows에 있는 <FONT color=#ff0000>alg.exe</FONT> 삭제</FONT></STRONG></P>
<P><STRONG><FONT color=#333333> c:windows/system32 폴더에 있는 <FONT color=#ff0000>explorer.exe</FONT>와 <FONT color=#ff0000>rund1132</FONT> 삭제</FONT></STRONG></P>
<P><FONT color=#333333>이렇게 하면 되겠네요</FONT></P>
<P><FONT color=#333333>어제까지 이상없다가 오늘 이렇게 저 세마리가 싹 튀어나오는 걸 보니 어제 저녁에 방문한 사이트들 가운데 숨겨져 있던 바이러스들 같아요.(<FONT color=#ff0000>데일리서프라이즈</FONT>가 조금 의심스럽네요. 거기 들어가자마자 실시간 감지기에 감염경고창이 뜨던데 말이죠.그리고 <FONT color=#ff0000>보물섬</FONT>이란 사이트에도 바이러스가 심어져 있다는 정보도 있네요.맨아래 두번째 링크 참조) 검색해보니 온라인게임의 개인정보를 해킹하기위해 주로 중국애들이 국내 사이트에 박아 놓은 트로이목마형 바이러스라고 합니다. </FONT></P>
<P><FONT color=#333333>다음은 아래 링크해둔 보호나라 공지 중 일부입니다.(맨 아래 링크를 반드시 열어보세요)</FONT></P>
<P><FONT style="BACKGROUND-COLOR: #ffffff" color=#0000ff> o </FONT><FONT style="BACKGROUND-COLOR: #ffffff" color=#0000ff>MS 보안취약점인 MS06-014에 대한 보안패치를 적용하지 않은 인터넷 사용자가 <BR> 악성코드 경유사이트로 이용된 1,000여개 홈페이지를 방문할 경우 자동으로 <BR> 트로이목마 프로그램이 설치됨<BR> o 해당 트로이목마는 국내 온라인게임인 한게임과 메이플스토리의 접속 ID 및 패스워드를 <BR> 해외 공격자에게 유출시킴</FONT></P>
<P><FONT style="BACKGROUND-COLOR: #ffffff" color=#0000ff> o 개인 PC 사용자 예방책<BR> - </FONT><FONT style="BACKGROUND-COLOR: #ffffff" color=#0000ff>해당 취약점(MS06-014)에 대한 마이크로소프트사의 보안패치 적용<BR> (</FONT><A class=con_link href="http://www.microsoft.com/technet/security/bulletin/MS06-014.mspx" target=_blank><FONT style="BACKGROUND-COLOR: #ffffff" color=#0000ff><STRONG>http://www.microsoft.com/technet/security/bulletin/MS06-014.mspx</STRONG></FONT></A><FONT style="BACKGROUND-COLOR: #ffffff" color=#0000ff>)<BR> - 보호나라의 “PC 자동 보안 업데이트” 프로그램 설치<BR> (</FONT><A class=con_link href="http://download.pcsmile.co.kr/pcsmile/PCSmileInstaller.exe" target=_blank><FONT style="BACKGROUND-COLOR: #ffffff" color=#0000ff><STRONG>http://download.pcsmile.co.kr/pcsmile/PCSmileInstaller.exe</STRONG></FONT></A><FONT style="BACKGROUND-COLOR: #ffffff" color=#0000ff>)<BR> - 최신 바이러스 백신을 이용한 주기적인 점검</FONT></P>
<P><FONT color=#333333>참고로 카스퍼스키 기반의 aol 백신으로 스캔하여 나온 내용을 올려놓고 한국정보보호진흥원에서 운영하는 보호나라 사이트의 관련공지글을 링크해둡니다.</FONT></P>
<P><FONT color=#333333>1.백신의 처리 내용</FONT></P>
<P><FONT color=#333333>2007-04-04 오후 6:34:32 File C:WINDOWS</FONT><FONT color=#333333><STRONG>system32norton.sys: detected Trojan program Backdoor.Win32.Agent.air</STRONG></FONT></P>
<P><FONT color=#333333>2007-04-04 오후 6:34:32 Security threats have been detected. You are advised to neutralize them immediately.<BR>2007-04-04 오후 6:34:32 Process (PID 1408) tried to access Active Virus Shield process (PID 1600), but it has been blocked. This is Self-Defense monitoring, and you do not need to do anything.<BR>2007-04-04 오후 6:34:32 Process (PID 1408) tried to access Active Virus Shield process (PID 1696), but it has been blocked. This is Self-Defense monitoring, and you do not need to do anything.<BR>2007-04-04 오후 6:34:41 Update completed successfully.<BR>2007-04-04 오후 6:35:01 File <STRONG>C:WINDOWSsystem32norton.sys</STRONG>: is not disinfected, skipped by user(<FONT color=#ff0000>실제로 이 파일은 없는 건데 백신을 이런 식으로 속이고 실제로는 rund1132란 바이러스를 깔아버립니다.</FONT> <FONT color=#ff0000>맨아래 두번째 링크 참조</FONT>)<BR>2007-04-04 오후 6:36:35 Running module alg.exealg.exe: detected <STRONG>Trojan program Trojan-PSW.Win32.Maran.do</STRONG><BR>2007-04-04 오후 6:36:35 Security threats have been detected. You are advised to neutralize them immediately.<BR>2007-04-04 오후 6:36:35 Running module alg.exe<STRONG>alg.exe</STRONG>: is not disinfected, postponed<BR>2007-04-04 오후 6:36:48 Running module alg.exe<STRONG>alg.exe</STRONG>: detected </FONT><FONT color=#333333><STRONG>Trojan program Trojan-PSW.Win32.Maran.do<BR></STRONG>2007-04-04 오후 6:36:52 Running module alg.exealg.exe cannot be deleted<BR>2007-04-04 오후 7:43:16 Running module alg.exe</FONT><FONT color=#333333><STRONG>alg.exe: detected Trojan program Trojan-PSW.Win32.Maran.do<BR></STRONG>2007-04-04 오후 7:43:16 Security threats have been detected. You are advised to neutralize them immediately.<BR>2007-04-04 오후 7:43:16 Running module alg.exealg.exe: is not disinfected, postponed<BR>2007-04-04 오후 7:43:21 Running module alg.exe</FONT><FONT color=#333333><STRONG>alg.exe: detected Trojan program Trojan-PSW.Win32.Maran.do<BR></STRONG>2007-04-04 오후 7:43:28 Running module alg.exealg.exe: deleted</FONT></P>
<P><FONT color=#333333>2.관련 링크</FONT></P>
<P><A class=con_link href="http://www.boho.or.kr/notice/9_1_read.jsp?u_id=82&board_id=1" target=_blank><STRONG><FONT color=#0000ff>악성코드 은닉사이트로 인한 피해 주의 및 보안조치 권고</FONT></STRONG></A></P>
<P><A class=con_link href="http://cafe.naver.com/ArticleRead.nhn?clubid=10717763&menuid=36&boardtype=L&page=&articleid=22753" target=_blank><FONT color=#0000ff><STRONG>http://cafe.naver.com/ArticleRead.nhn?clubid=10717763&menuid=36&boardtype=L&page=&articleid=22753</STRONG></FONT></A></P>
