HDM.exe 는 악성 USB 바이러스 로 파 괴력 이 매우 크다.주로 다음 과 같은 몇 가지 측면 에 나타난다.Quote:1.SSDT 를 복구 하 는 방식 으로 백신 소프트웨어 2.IFEO 이미지 납치 파괴 3.지정 한 창 을 닫 고 4.gho 파일 삭제 5.보안 모드 파괴,그리고 숨겨 진 파일 기능 표시 6.htm 등 웹 페이지 파일 감염 7.비밀번호 가 랜 을 통 해 전 파 될 것 으로 예상 8.USB 등 모 바 일 저장 소 를 통 해 전 파 된 9.arp 사기 구체 적 인 분석 은 다음 과 같다.Quote:File: HDM.exe Size: 13312 bytes Modified: 2007 년 11 월 28 일, 16:52:08 MD5: 7EC36FA2BCFC1EA72C26B74C928C78F6 SHA1: B60048A8F9DB67EDF4B94BFE4DA2A1906CD33B59 CRC32: 88D 8970 A 기술 세부 사항:1.바이러스 가 실 행 된 후 다음 파일 과 사본 을 방출 합 니 다.Quote:C:\WINDOWS\\system 32\\Winlogon.dll C:\RESSDT.sys 는 모든 디스크 파 티 션 을 옮 겨 다 닙 니 다. 디스크 루트 디 렉 터 리 에 HDMI.exe 와 autorun.inf 를 기록 합 니 다. U 디스크 등 모 바 일 저장 소 를 통 해 전 파 될 목적 을 달성 하 는 동시에 서비스 RESSDT 서비스 에 대한 설명 을 만 듭 니 다.시작 유형:수 동 이미지 파일 경로:c:\RESSDT.sys"디 스 플레이 이름:"RESSDT"이후 이 드라이브 를 불 러 옵 니 다. 이 구동 은 일부 백신 소프트웨어 의 API 를 만 들 수 있다. hook 실효 2.GetIp.bat 를 바이러스 가 있 는 디 렉 터 리 에 방출 하여 IP 주 소 를 얻 습 니 다.3.ping 명령 을 이용 하여 같은 네트워크 에 있 는 다른 기 계 를 탐지 하고 결 과 를 c:\EnumHost.txt 4 에 기록 합 니 다.같은 네트워크 에 있 는 다른 기 계 를 찾 으 면 사용자 이름과 비밀 번 호 를 매 거 진 방식 으로 HDM.exe 를 다른 기기 의 C,D,E 로 복사 합 니 다.F 디스크 의 루트 디 렉 터 리 에 열 거 된 사용자 이름과 비밀 번 호 는 다음 과 같 습 니 다.Quote:home movie alex love xp 123 administrator new guest user game time yeah money xpuser 123456 qwerty abc 123 memory 12345678 88888 5201314520 asdfgh angel asdf baby woaini 이후 에 현재 기 계 를 얻 는 시간 을 이용 합 니 다. 그리고 at 명령 을 이용 하여 이 바 이러 스 를 정시 에 시작 합 니 다.시스템 디 렉 터 리 를 얻 고 http:/*/erp.exe 와 http:/*/winpcap.exe 를 시스템 디 렉 터 리 아래 winpcap.exe 로 다운로드 하 는 것 은 냄새 탐지 기 입 니 다. arp.exe 는 arp 사기 기능 을 가지 고 있 으 며,랜 의 다른 기계 의 80 포트 에 가입 할 수 있 습 니 다.http://www.*/wm.htm 의 iframe 코드 6.디스크 의 모든 파 티 션 아래 html,htm,asp,aspx,phop,jsp 파일 을 옮 겨 다 니 며
의 코드 7.모든 디스크 파 티 션 을 옮 겨 다 니 며 gho 파일 삭제 8.software\\microsoft\windows nt\currentversion\image file execution options\\아래 IFEO 항목 추가,일부 백신 프로그램 을 납치 한 것 으로 인용:360 rpt.exe 360 Safe.exe 360 tray.exe 360 tray.exe adam.exe agentSvv.exe AppSv32.exe autoruns.exe avgrssvc.exe AvMonitor.exe avp.com avp.exe CCenter.exe ccSVHst.exe FileDsty.exe FrameworServices.exe FTCleanerShell.exe HijacThis.exe IceSword.exe iparmo.exe iparmo.exe ipparmor. exe isPwdSvc.exe kabaload.exe KaScScScScScScScScScScScCR KASMSCSCSCSCSCSCSCSCSCSCSCSCSCSCSCSCSCSCSMSMSM가가가가가가가가가가가가인가 인가 인가 인가 인가 인가 인가 인가 인가 인가 인가 인가 인가 인가 인가 IN.exe KASTask.exe KAV32.exe KAVDX.exe KAVPFW.exe KAVSetup.exe KAVStart.exe KISLnchr.exe KMailMon.exe KMFilter.exe kmp.exe KPFW32.exe KPFW32X.exe KPFWSvc.exe KRegEx.exe KRepair.COM KsLoader.exe KVCenter.kxp KvDetect.exe KvfwMcl.exe KVMonXP.kxp KVMonXP_1.kxp kvol.exe kvolself.exe KvReport.kxp KVScan.kxp KVSrvXP.exe KVStub.kxp kvupload.exe kvwsc.exe KvXP.kxp KvXP_1.kxp KWatch.exe KWatch9x.exe KWatchX.exe loaddll.exe MagicSet.exe mcconsol.exe Mcshield.exe mmqczj.exe mmsk.exe MPMon.exe MPSVC.exe MPSVC1.exe MPSVC2.exe naPrdMgr.exe NAVSetup.exe nod32krn.exe nod32kui.exe PFW.exe PFWLiveUpdate.exe QHSET.exe Ras.exe Rav.exe RavMon.exe RavMonD.exe RavStub.exe RavTask.exe RegClean.exe regedit.exe rfwcfg.exe RfwMain.exe rfwProxy.exe rfwsrv.exe RsAgent.exe Rsaupd.exe runiep.exe safelive.exe scan32.exe shcfg32.exe shstat.exe SmartUp.exe SREng.exe SWEEP95.exe symlcsvc.exe SysSafe.exe Tbmon.exe TBSCAN.exe TERegPct.exe TrojanDetector.exe Trojanwall.exe TrojDie.kxp UIHost.exe UmxAgent.exe UmxAttachment.exe UmxCfg.exe UmxFwHlp.exe UmxPol.exe UpdateUI.exe UpLive.EXE.exe VsTskMgr.exe WEBSCANX.exe WoptiClean.exe ZONEALARM.exe zxsweep.exe _AVP32.EXE _AVPCC.EXE _AVPM.EXE 9.HKLM\SOFTWARE\Microsoft\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\Hidden\SHOWAL\CheckedValue 의 값 을 0x 0000001 로 변경 합 니 다. 숨 김 파일 파괴 10.system\\currentcontrolset\control\safebootetwork 와 system\currentcontrolset\\control\safeboot\\minimal 키 를 삭제 하여 보안 모드 파괴 11.지정 한 창의 이름 을 찾 습 니 다.그리고 이 를 닫 습 니 다 Quote:안전 위 사 스 캔 등록 표 프로 세 스 독 목마 방어 방화벽 바이러스 검출 방화벽 바이러스 안 티 금 산 강 민 카 바스 키 웜 백신 12.시작 c:\프로그램 files\internet explorer\\iexplore.exe 다운로드 목마 다운로드http://www.*/1.exe~http://www.*/6.exe 는 temp 폴 더 아래 에 각각 downfile.exe~downfile 5.exe 라 고 명명 되 어 있 습 니 다.그 중 1.exe 는 목마 다운로드 기 입 니 다.많은 목 마 를 다운로드 할 수 있 지만 테스트 에 성공 하지 못 했 습 니 다.13.동시에 HKEYLOCAL_MACHINE\\\Software\\Microsoft\Windows\\CurrentVersion\\Run 아래 에 레 지 스 트 항목
<%SystemRoot%\system 32\calc.exe>를 추가 하여 calc.exe 를 시작 합 니 다. 구체 적 으로 어떤 역할 을 하 는 지...14.HKEY 에서LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\\Winlogon\Notify\Winlogon 아래 에 레 지 스 트 항목 [] 15.바이러스 몸 속 에"nofixups!"just test !” 모든 목마 와 바이러스 가 심 어 진 sreng 로 그 는 다음 과 같 습 니 다.시작 항목 Quote:레 지 스 트 HKEYLOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run <%SystemRoot%\system32\calc.exe> [(Verified)Microsoft Windows Publisher] [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Winlogon] [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe] [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe] []... ================================== 드라이버[RAS] Asynchronous Media Driver / AsyncMac][Stopped/Auto Start] [MS / MS][Stopped/Manual Start] <\??\C:\DOCUME~1\NEWCEN~1\LOCALS~1\Temp\tmp13.tmp> [RESSDT / RESSDT][Stopped/Manual Start] <\??\c:\RESSDT.sys> [usbmouseb / usbmouseb][Running/Manual Start] <\??\C:\\WINDOWS\\SYSTEM 32\\drivers\\smbins.sys>=============================================실행 중인 프로 세 스[PID: 1148][C:\Program Files\Internet Explorer\iexplore.exe] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803- 2158)] [C:\WINDOWS\system32\Insert.dll] [N/A, ] [PID: 1428][C:\WINDOWS\explorer.exe] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)] [C:\WINDOWS\SYSTEM32\smbins.dll] [Microsoft Corporation, 5, 0, 2195, =========================================================================================================================================================================================================자원 관리자(&X)셸\exploree\command=HDM.exe 일부 목마 가 심 어 지지 않 았 기 때문에 해결 방법 을 나 타 낼 수 없습니다.sreng 과 Xdelbox 1 을 다운로드 하고 Xdelbox 의 모든 파일 을 폴 더 에 압축 해제 합 니 다. 옆 상자 추가 중 각각%systemroot%\\system 32\DRIVERS\comint 32.sys%systemroot%\\system 32\\Server.EXE%systemroot%\\system 32\Winlogon.dll c:\\RESSDT.sys%systemroot%\\system 32\\drivers\smbins.sys%systemroot%\\system 32\\Insert.dll%systemroot%\\SYSTEM 32\\smbins.dll 하 나 를 입력 한 후 옆 에 추가 클릭 버튼 추 가 된 파일 아래 큰 상자 에 나타 나 서 한 번 에 선택 합 니 다. (ctrl)아래 큰 상자 의 모든 파일 오른쪽 단 추 를 누 르 십시오. 클릭 하 다. 클릭 하 다. 다시 시작 즉시 삭제 winpcap.exe 소프트웨어 를 마 운 트 해제 2.컴퓨터 를 다시 시작 한 후 sreng 시작 항목 을 엽 니 다. 레 지 스 트 다음 항목 삭제 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run <%SystemRoot%\system32\calc.exe> [(Verified)Microsoft Windows Publisher] [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Winlogon] [] 모든 빨간색 IFEO 항목 삭제
"시작 항목"-"서비스"-"드라이버"에서"인 증 된 마이크로소프트 항목 숨 기기"를 누 르 고"서비스 삭제"를 누 르 고"설정"을 누 르 고 팝 업 상자 에서"아니오"를 누 르 십시오.Quote:[RAS] Asynchronous Media Driver / AsyncMac][Stopped/Auto Start] [MS / MS][Stopped/Manual Start] <\??\C:\DOCUME~1\NEWCEN~1\LOCALS~1\Temp\tmp13.tmp> [RESSDT / RESSDT][Stopped/Manual Start] <\??\c:\RESSDT.sys> [usbmouseb / usbmouseb][Running/Manual Start] <\??\C:\\WINDOWS\SYSTEM 32\\drivers\\smbins.sys>시스템 복구-Windows Shell/IE 전 선거 복구 시스템 복구-고급 복구-복구 보안 모드 를 누 르 면 내 컴퓨터,도구,폴 더 옵션 을 두 번 누 르 고 보 려 면'숨겨 진 파일 이나 폴 더 표시'를 누 르 십시오. "보 호 된 운영 체제 파일 숨 기기(추천)"앞 에 있 는 체크 를 삭제 합 니 다.변경 사항 을 확인 할 때"예"를 누 르 십시오. 그리고 클릭 을 확인 하 세 요. 메뉴 표시 줄 아래 폴 더 단추(오른쪽 단 추 를 검색)왼쪽 자원 관리자 에서 모든 디스크 파 티 션 을 열 어 루트 디 렉 터 리 에 있 는 HDM.exe 와 autorun.inf 를 삭제 하려 면 누 르 십시오.감 염 된 웹 파일 을 복구 하려 면 iframkill 을 사용 하 는 것 을 추천 합 니 다.아직 까지 이 바 이러 스 는 악성 바이러스 이기 때문에 백신 소프트웨어 가 보고 되 지 않 았 습 니 다.일단 유행 하면 결 과 는 상상 조차 할 수 없 기 때문에 다음 과 같은 작업 을 잘 하여 유사 한 바이러스 가 발생 하지 않도록 예방 하 시기 바 랍 니 다.1.전체 시스템 패 치 를 하고 백신 소프트웨어 와 방화벽 을 신속하게 업그레이드 하 며 실시 간 감시 기능 을 켜 기 바 랍 니 다.2.시스템 에 복잡 한 비밀 번 호 를 설정 합 니 다.3.자동 재생 을 닫 고 USB 를 통 해 전 파 된 바이러스 의 침입 을 막 습 니 다.
