1.WIN 32.EXE 의 출처:http://fdghewrtewrtyrew.biz/adv/130/win32.exe 2.실행 후의 표현:이 WIN 32.EXE 는 80 과 8080 포트 를 통 해 여러 개의 IP 를 방문 합 니 다.만약 에 방화벽 이 이 접근 을 감지 하지 못 하거나 허용 하지 못 하면 WIN 32.EXE 는 목마 Kernels 8.exe 를 system 32 디 렉 터 리 에 자동 으로 다운로드 합 니 다.Kernels 8.exe 는 인터넷 에서 1.dlb,2.dlb 를 다운로드 합 니 다.다운로드 한 목마 로드 가 실 행 된 후 인터넷 에서 다른 목마/웜 을 다운로드 합 니 다.목마/웜 을 완전히 다운로드 하여 시스템 에 삽입 하면 SREng 로 그 를 볼 수 있 습 니 다.시작 항목 레 지 스 트[HKEYCURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] [N/A] [N/A] [N/A] <_mzu_stonedrv3> [N/A] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] [N/A] [N/A] [N/A] [N/A] <_mzu_stonedrv3> [N/A] <30> [N/A] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] [N/A] <_mzu_stonedrv3> [N/A] <30> [N/A] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] [N/A] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rpcc] [N/A] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winsys2freg] [N/A]========================================실행 중인 프로 세 스[PID: 584][\??\C:\windows\system32\winlogon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] [C:\Documents and Settings\All Users\Documents\Settings\winsys2f.dll] [N/A, N/A] [PID: 1584][C:\windows\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)] [C:\windows\system32\rflbg.dll] [N/A, N/A] ================================== HOSTS 파일 127.0.0.1 avp.com 127.0.0.1 ca.com 127.0.0.1 f-secure.com 127.0.0.1 housecall.trendmicro.com 127.0.0.1 kaspersky.com 127.0.0.1 mcafee.com 127.0.0.1 my-etrust.com 127.0.0.1 nai.com 127.0.0.1 networkassociates.com 127.0.0.1 secure.nai.com 127.0.0.1 securityresponse.symantec.com 127.0.0.1 sophos.com 127.0.0.1 symantec.com 127.0.0.1 trendmicro.com 127.0.0.1 us.mcafee.com 127.0.0.1 v4.windowsupdate.microsoft.com 127.0.0.1 v5.windowsupdate.microsoft.com 127.0.0.1 v5windowsupdate.microsoft.nsatc.net 127.0.0.1 viruslist.com 127.0.0.1 windowsupdate.com 127.0.0.1 windowsupdate.microsoft.com 127.0.0.1 www.avp.com 127.0.0.1 www.bitdefender.com 127.0.0.1 www.ca.com 127.0.0.1 www.f-secure.com 127.0.0.1 www.kaspersky.com 127.0.0.1 www.mcafee.com 127.0.0.1 www.my-etrust.com 127.0.0.1 www.nai.com 127.0.0.1 www.networkassociates.com 127.0.0.1 www.pandasoftware.com 127.0.0.1 www.ravantivirus.com 127.0.0.1 www.sophos.com 127.0.0.1 www.symantec.com 127.0.0.1 www.trendmicro.com 127.0.0.1 www.viruslist.com 127.0.0.1 www.windowsupdate.com 127.0.0.1 www3.ca.com 127.0.0.1 downloads1.kaspersky-labs.com 127.0.0.1 downloads2.kaspersky-labs.com 127.0.0.1 downloads3.kaspersky-labs.com 127.0.0.1 downloads4.kaspersky-labs.com 127.0.0.1 downloads-us1.kaspersky-labs.com 127.0.0.1 downloads-eu1.kaspersky-labs.com 127.0.0.1 kaspersky-labs.com 127.0.0.1 mast.mcafee.com 127.0.0.1 dispatch.mcafee.com 127.0.0.1 update.symantec.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 customer.symantec.com 127.0.0.1 rads.mcafee.com 127.0.0.1 liveupdate.symantecliveupdate.com 127.0.0.1 download.mcafee.com 127.0.0.1 updates.symantec.com ================================== HijackThis 로그 볼 수 있 는 v 1.99.1:O4 - HKLM\..\Run: [System] C:\windows\system32\testtestt.exe O4 - HKLM\..\Run: [UpdateService] C:\windows\system32\wservice.exe O4 - HKLM\..\Run: [spoolsvv] C:\windows\system32\spoolsvv.exe O4 - HKLM\..\Run: [adir] C:\windows\system32\adirss.exe O4 - HKLM\..\Run: [_mzu_stonedrv3] C:\windows\system32\_mzu_stonedrv3.exe O4 - HKLM\..\Run: [30] C:\windows\system32\30.tmp O4 - HKLM\..\RunServices: [SystemTools] C:\windows\system32\testtestt.exe O4 - HKLM\..\RunServices: [_mzu_stonedrv3] C:\windows\system32\_mzu_stonedrv3.exe O4 - HKLM\..\RunServices: [30] C:\windows\system32\30.tmp O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe O4 - HKCU\..\Run: [UpdateService] C:\windows\system32\wservice.exe O4 - HKCU\..\Run: [taskdir] C:\windows\system32\taskdir.exe O4 - HKCU\..\Run: [_mzu_stonedrv3] C:\windows\system32\_mzu_stonedrv3.exe O4 - HKCU\..\Run: [WinMedia] C:\windows\loader622535.exe O4 - HKCU\..\Run: [Winstx] C:\windows\loader628714.exe O20 - Winlogon Notify: rpcc - C:\windows\system32\rpcc.dll O20 - Winlogon Notify: winsys2freg - C:\Documents and Settings\All Users\Documents\Settings\winsys2f.dll O21 - SSODL: sqPIftjYG - {F4233280-5E89-982A-A244-6D00C3A79C12} - C:\\windows\system 32\rflbg.dll 그 중,C:\\문서 and Settings\All Users\\Documents\\Settings\\winsys 2f.dll 에 winlogon.exe 프로 세 스 를 삽입 합 니 다.이.dll 은 처리 하기 가 비교적 어렵다.이 유 는:1.이 dll 은 숨겨 진 폴 더 에 있 습 니 다.IceSword 나 WINRA 등 도 구 를 사용 해 야 볼 수 있 습 니 다.2.winlogon.exe 프로 세 스 가 삽입 되 어 있 기 때문에 이 dll 은 직접 삭제 할 수 없습니다.3.이 목마/웜 중 어느 것 이 IE 프로 세 스 를 열 었 는 지 모 르 겠 습 니 다.(IE 창 이 열 리 지 않 습 니 다.)WINDOWS 의"작업 관리자"가 비활성화 되 었 습 니 다.다른 도 구 를 사용 하면 겉 으로 는 IE 프로 세 스 를 끝 낼 수 있 지만 어떤 도구 로 IE 프로 세 스 를 끝 낸 후에 도 바 이러 스 는 winlogon.exe 를 통 해 IE 프로 세 스 를 시작 하려 고 합 니 다(SSM 은 이 과정 을 모니터링 할 수 있 습 니 다).이 때 낮은 버 전의 SSM 으로 winlogon.exe 로 IE 프로 세 스 를 시작 하지 못 하 게 하면 시스템 이 무 너 지고 다시 시작 합 니 다.최신 버 전의 SSM 으로 2.2.0.595 는 부작용 없 이 winlogon.exe 가 IE 프로 세 스 를 시작 하 는 것 을 금지 할 수 있 습 니 다.이 바이러스 의 처리 난점 은 1.바이러스 감염 시스템 일 때 시스템 관련 디 렉 터 리(exe 파일 이 있 는 디 렉 터 리)와 시스템 파 티 션 이외 의 다른 파 티 션 디 렉 터 리(exe 파일 이 있 는 디 렉 터 리)에서 대량의 t 파일 을 방출 했다.이후 에 관련 된.exe 를 실행 할 때 이.t 파일 을 먼저 실행 해 야 합 니 다.이 과정 은 SSM 에 의 해 감 시 될 수도 있 고 SSM 에 의 해 금 지 될 수도 있다.그러나 SSM 으로 이.t 실행 을 금지 하면 실행 할.exe 도 SSM 에서 금 지 됩 니 다.당 첨 후 백신 소프트웨어 로 독 을 죽 이 는 것 이 하나의 예 이다.카 바스 키 디 렉 터 리 의.t 실행 을 허용 하면 kav.exe 가 감 염 됩 니 다(MD5 값 변경).시스템 을 깨끗이 정리 한 후에 나 는 카 바스 키 를 마 운 트 해제 하고 다시 설치 할 수 밖 에 없 었 다.내 타 이 니 방화벽 도 마찬가지 야.나 는 이'서양 풍경'전 체 를 보기 위해 타 이 니 를 닫 았 다.바이러스/시스템 재 부팅 후 Tiny 가 자동 으로 불 러 올 때 amon.exe 가 감 염 됩 니 다.2.모든 바이러스 프로그램 이 실행 되 는 것 을 완전히 금지 하지 않 으 면 일반 WINDOWS 모드 에서 목마/웜 파일 을 삭제 합 니 다.작업 을 삭제 할 때 같은 위치 에서 숫자 가 다 르 고 파일 이름 접미사 가.t 인 파일 을 생 성 합 니 다.파일 이름 은 무 작위 로 배 열 된 소문 자 8 개 입 니 다.3.제 처리 방법:1.최신 버 전의 SSM 2.2 로 상기 바이러스 프로 세 스 를 끝내 고 Blocked 그룹 에 포함 시 킵 니 다.SSM 을'자동 실행'으로 설정 합 니 다.2.시스템 을 다시 시작 합 니 다.3.시스템 을 다시 시작 한 후에 SSM 은 바이러스 프로그램 에 불 러 오 려 고 합 니 다(목 마 는 SSM 을 통 해 폴 더 에 있 는.t 를 설치 하여 불 러 오 려 고 합 니 다).SSM 으로 불 러 오 는 것 을 금지 하고 Blocked 그룹 에 들 어 갈 수 있 습 니 다.4.바이러스 의 로 딩 항목 을 삭제 합 니 다(앞의 SREng 및 HijackThis 로그 참조).5.숨겨 진 파일 보이 기.바이러스 파일 삭제(그림 1-그림 6).삭제 할 바이러스 파일 이 너무 많 습 니 다.예 를 들 어 그림 에는 이 바이러스 의 주요 파일 과 바이러스 파일 을 삭제 할 때 생 성 된 부분 만 표 시 됩 니 다.t 파일(휴지통 에 삭 제 된 바이러스 파일 을 모두 표시 하려 면 18 장의 그림 이 필요 합 니 다).바이러스 에 감 염 된 후 생 성 된.t 파일 의 많 고 적 음 및 분포 범 위 는(1)시스템 이 시 작 될 때 실행 중인 프로그램 수 에 달 려 있 습 니 다.(2)독 에 감 염 된 후 깨끗이 처리 되 지 않 기 전에 WINDOWS 에서 작업 절차 의 많 고 적 음;(3)시스템 파 티 션 이외 의 다른 파 티 션 각 디 렉 터 리 에 있 는 폴 더 에.exe 파일 이 포함 되 어 있 는 지 여부(폴 더 에.exe 파일 이 포함 되 어 있 지 않 으 면 바이러스.t 파일 생 성 이 없습니다).6.HOSTS 파일 을 복원 합 니 다.7.감 염 된 프로그램 을 마 운 트 해제 하고 다시 설치 합 니 다(MD5 값 이 변 경 된 것).그림 1
