어제 멤버십내에 바이러스가 돌고 있다고 하길래 무서웠는데 다음과 같은 바이러스라고 한다...

이제 바이러스에 대해 관심이 많아 졌는데.. 요런거 만드는 놈들 정신세계는 이상하지만 기술은 배우고 싶다.ㅋ

출저 : http://blog.naver.com/worm99?Redirect=Log&logNo=40053311468

아래부터는 블로그에서 퍼온 글..

어느날 갑자기 만자가 파일을 보내는 것이다...

 

그래서 별생각 없이 받았는데... 실행파일이라 실행을 할까 말까 고민하다 별일이야 있겠냐 해서

 

실행했더니 정말 별일없는 박카스 먹고 힘내라는 플래시 파일이었다.

 

그런데 그다음날 점심시간에 점심먹고 돌아오니 네이트온 창이 스무개 가량 열려있는게 아니겠는가... ㄷㄷㄷ

 

뭐하는 거냐는 둥 귀엽다는둥 생전 말도 제대로 안걸던 사람들 한테 까지 박카스 파일이 내이름으로 돌았는가 보다...

 

 

 

제기랄

 

네이트온 박카스F 바이러스!!!!! 일명 '만자바이러스'

 

아직 특별하게 치료법이 나온것 같지는 않으나 곧 나올것으로 보인다.

 

아마 지금 돌고 있는 네이트온 바이러스 여러 종류드른 백도어 프로그램인것 같다.

 

백도어는 컴퓨터에 몰래 숨어들어가 컴퓨터 속의 정보를 빼내가거나 특정 작업을 하도록 제작된 프로그램이다.

 

우선 친한 친구라도 쪽지나 대화창으로 갑자기 말도없이 파일을 보낸다면 상콤하게 쌩까주자.

 

그리고 무슨파일이냐고 물어보고 받을것!!!  지금은 딱히 치료방법이 없으니... 네이트온을 지우고 다시 까는것도 좋은방법

 

그리고 한가지 절대 공인인증서는 컴퓨터내에 보관하지 맙시다.

 

그리고 비슷한 네이트온 쪽지 바이러스는 치료백신이 나왔으니 체험판이라도 받아서 해결하는게 좋을듯 싶다.

 

 

 

기존 네이트온 바이러스 정보 - 출처 하우리

Dropper.PSWIGames.159222
별칭
분류 기타 활동범위 윈32
파괴/확산 등급 특정활동일 없음
확산방법 메신저
대표적 증상 레지스트리 변경, 메시지 전송, 정보유출
    , 파일생성, 화면출력, 트로이 목마 설치
    , 악성코드 설치
제작국가 이탈리아 암호화여부 비암호화
감염위치 파일 시스템 메모리
상주여부
비상주
발견일 [국내] 2008/07/06
[해외] 불분명
엔진버전 2008-07-07
[진단, 치료 가능]

내용
[전체 요약]
국내 유명 메신저인 네이트온의 쪽지 전송 기능을 통해 전파된다.
특정 온라인 게임 및 포털 사이트 접속 시 사용자의 개인정보를 절취한다.

[확산 방법]
국내 유명 메신저인 네이트온의 쪽지 전송 기능을 통해 전파된다.

[감염 후 증상]
1. 네이트온의 쪽지로 다음과 같은 메시지를 통해 전파된다.

   우리집에 애완견인데 이뻐요 ?
   http://(생략)/img/?kia(생략).jpg

   당신에게 매우 흥미로운 내가 찍은 사진을 보냅니다.
   http://(생략)/img/title/?kia(생략).jpg

2. 해당 URL을 클릭하게 되면 RAR로 실행압축된 실행파일이 다운된다.

3. 파일을 실행할 경우 다음의 그림이 보여진다.

  

4. 다음의 파일들이 생성된다.

   (윈도우 시스템 폴더)\serfarcp.dll
   (윈도우 시스템 폴더)\coinme.exe
   (윈도우 시스템 폴더)\drivers\windf.exe
   (윈도우 시스템 폴더)\drivers\windf.hlp
   (윈도우 시스템 폴더)\nwizsys32.exe
   (윈도우 시스템 폴더)\nwizsys32.dll

5. 다음의 레지스트리를 수정하여 시스템 재 시작시에 자동 실행되도록 한다.

   [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="(윈도우 시스템 폴더)\coinme.exe"

   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
policies\Explorer\Run]
"DF"="(윈도우 시스템 폴더)\drivers\windf.exe"

   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{683f21A6-DAAD-30A4-5ACD-D96750A35C28}]
"StubPath"="(윈도우 시스템 폴더)\nwizsys32.exe 1"

6. wsock32.dll의 send 함수를 후킹하여 사용자의 개인정보(특정 온라임 게임 및 포털 사이트)를 절취한 후 해커에게 전송한다.

치료방법
[치료 방법]

1. WinXP/ME 사용자라면 시스템 복원 기능을 비활성화 한다. 시스템 복원 기능을 비활성화 하는 이유는 깨끗하게 바이러스를 치료하기 위해서이다. 관련 정보는 MS 홈페이지 기술문서(Q263455)에서 확인할 수 있다.

2. 백신 엔진을 최신으로 업데이트 한다.
이 바이러스를 치료하기 위해서는 최신의 백신 엔진이 필요하다.
  1. 바이로봇 정식 사용자의 경우 :
  2. 바이로봇을 사용하지 않는 일반 고객 :
3. 바이러스 검사를 한다.
  1. 바이로봇을 실행하여, 검사 옵션에서 모든 파일 검사로 한다.

    • 바이로봇 Expert 4.0 : [편집]->[환경설정]->[검사] : 모든파일 체크
    • 바이로봇 Desktop 5.0 : [도구]->[환경설정]->[바이러스 검사] : 모든 파일 체크
    • 라이브콜(무료검사) : [고급검사] : 체크

  2. 발견되는 모든 바이러스에 대해서 치료한다.
  3. [재부팅 후 자동 치료] 메시지가 나타났다면 재부팅을 한 후에 다시 검사한다.
신고
by danguria 2008.10.30 10:33

티스토리 툴바