최근에 발견한 악성코드 -_- ;

시간없어서 분석은 제대로 해보지 않았는데

 

아마, 감염경로는 웹사이트에서 IE의 취약점을 통해 접근한거라 판단.

( 업데이트하지 않는 주의라... )

 

Vista 상위계열에선 %PROGRAMDATA% 경로를 통해

 

파일 이름을 무작위코드 7개를 생성후 dat 파일(내부는 DLL)을 생성하는게 특징인듯함.

(필자의 컴퓨터에선 hjjzcdr.dat 라는 파일명을 가짐.)

 

이 파일을 생성후 regsvr32 을 통해 DLL 등록 및 레지스트리에도 부팅시 매번 실행되게 등록하여

 

여간 번거롭지 않게 함.

 

또한, 해당 프로그램이 어떠한 서버를 통해 자신을 업데이트하는듯함.

 

안티바이러스 프로그램 계열에선 이 프로그램을 악성코드로 분류하고 '파일만' 삭제하여

 

서비스에 등록된 DLL 메모리는 처리하지 않아 해당 DLL에서 삭제될 때마다 dat 을 재생성함 -_- ;

(레지스트리를 지워도 계속해서 생성시킴)

 

따라서, 지우려면 아래와 같이 해야함.

 

■ 치료 방법

 

- 첫번째 방법

1. 시작 > 실행 (단축키:윈도우로고키+R) 후 'regsvr32 /u dllname' 을 통해 서비스에서 메모리를 지워버림.

 

2. regedit 를 통해 매번 실행되는 영역의 레지스트리를 지워버림

 

3. 해당 dat 파일을 지워버림.

 

- 두번째 방법

1. 해당 dat의 경로를 가서 해당 파일의 바이너리를 전부 0으로 채워버림.

( 단순한게 저 악성코드 자신이 변환됐나 검사를 안함. 근데, 파일 사이즈가 변환되면 재생성함. )

 

2. 재부팅함.

 

3. regedit를 통해 실행되는 영역의 레지스트리를 지워버림.

 

4. 해당 dat 파일을 지워버림.

 

참고로 필잔 두번째 방법으로 처리함. (잘 생각해보니 첫번째 방법이 떠오름)