로그인

  • 목록
  • 아래로
  • 위로
  • 쓰기
  • 검색

공지 2090 바이러스 예방 안내

첨부 1


일단  웜 바이러스의 형태로 ,  Viruslist.com 에 공식 기재된 진단명은, Net-Worm.Win32.Kido  입니다.
변종이  여기서 파생되어져서  이름이 여러가지로 바뀔수가 있습니다.

자신이 사용중인 Microsoft Windows 운영체제가
MS08-067   취약점의  보안패치가 설치되지 않았다면 , 웜 형태로 유입되어서 PC내부로 침투하게됩니다.

감염된 후에 원래 운영체제가 설치되었있었던  드라이브만 HDD 포맷한뒤 , 재설치한다해도 , 이 웜은 이동식 드라이브, Recycle 폴더에까지 흔적을 남기는데 이동식 드라이브에 남아있었던  웜의 잔재나, 혹은 Recycle 폴더내에 남아있었던  웜의 잔재들,  또는  OS 재설치후에도 보안패치가 설치되지 않았다면 또 다시 활동할수가 있기때문에 사람들이 흔히  포맷을 한뒤 새로 설치해도  지워지지가 않는다, 이건 뭔가 기계적인 문제일것이다.  라고 잘못 알기도 합니다.



백신업체에서 내놓은   Auto Remove Tool을 수행한뒤 , 보안패치를 하는방법과, 자신이 수동으로 삭제한뒤 , 보안패치를 하는 방법이 있습니다.





아래 번역된 내용은   Kaspersky 글로벌 사이트에서 변종버젼이 아닌, 최초로 발견되었었던 , Net-Worm.Win32.Kido  웜에 대한  내용과 그에따른  삭제방법입니다.

(Kaspersky 한국지사에서 소개한 방법과는 약간 상이할 수가 있습니다.)
- 아마도 약간 변종에 대한 대처방법을 서술한듯 합니다.

좀더 자세한 삭제방법과 정보를 취득하고 싶다면 ,  다음 링크를 방문하십시오.
http://www.kaspersky.co.kr/board/bbs/board.php?bo_table=Malware&wr_id=277


-자동 제거 방법-

1.아래 파일을 받는다.
http://data2.kaspersky-labs.com:8080/special/KidoKiller_v3.1.zip

2. KidoKiller.exe  를 실행합니다.

3. 검사가 끝날때까지 기다립니다.

4. 최신버젼의 백신으로 업데이트 한뒤 , 전체검사를 수행합니다.

5. 첨부파일을 내려받아  보안패치를 실시합니다.


WindowsXP-KB958644-x86-KOR.exe
>  http://download.microsoft.com/download/5/f/7/5f7a0d69-062e-423a-8d8f-ebc2eafe2bcf/WindowsXP-KB958644-x86-KOR.exe

Windows6.0-KB958644-x86.msu
>  http://download.microsoft.com/download/d/c/0/dc047ab9-53f8-481c-8c46-528b7f493fc1/Windows6.0-KB958644-x86.msu

위 파일은  WindowsXP ,   아래 파일은  Widows Vista 입니다.




-수동 제거 방법-

1. 아래 경로의 레지스트리 키를 삭제합니다.
[HKLMSYSTEMCurrentControlSetServices etsvcs] -> 이 경로에 netsvcs 란 키는 원래 존재하지 않습니다.


2. [HKLMSOFTWAREMicrosoftWindows NTCurrentVersionSvcHost] "netsvcs"
위 경로로 가면 netsvcs 내용에 키 파라메터가 2개 있는데 ,이 웜바이러스는 그 파라메터 값을 이용해서(필자 같은경우는 (12320, 1) 2개가 있음)
System32 이하에   <rnd>.dll   형식의 파일을 만듭니다.
그 파일들을 모두 삭제합니다.


3. 컴퓨터를 재부팅 합니다.

4. 원래의 웜 파일을 삭제합니다. (이 원래 웜파일의 위치는 당신 컴퓨터에 웜이 어떻게 침투했느냐에 따라서 달라집니다).

5. system32 폴더에 들어가서 아래와 같은 형식의 파일을 삭제합니다.

<rnd>.dll <rnd> 부분은 랜덤으로 생성됩니다.


6. 모든 이동식 저장 장치에 들어간뒤 , 아래 경로와 파일을 삭제합니다. 들어가서  삭제합니다.

<X>:autorun.inf <X>:RECYCLERS-5-3-42-2819952290-8240758988-879315005-3665<rnd>.vmx
rnd는  랜덤으로 생성되는 이름이며 ,  X 는  이동식 디스크 드라이브 문자열을 말합니다.

7. 아래를 내려받아  보안패치를 실시합니다.


  WindowsXP-KB958644-x86-KOR.exe
>  http://download.microsoft.com/download/5/f/7/5f7a0d69-062e-423a-8d8f-ebc2eafe2bcf/WindowsXP-KB958644-x86-KOR.exe

Windows6.0-KB958644-x86.msu
>  http://download.microsoft.com/download/d/c/0/dc047ab9-53f8-481c-8c46-528b7f493fc1/Windows6.0-KB958644-x86.msu

위의 파일은  WindowsXP ,   아래 파일은  Widows Vista 입니다.


8. 안티바이러스 SW를 설치하고 , 최신버젼의 DB로 업데이트 한뒤,   전체검사를 수행합니다.

이런 글도 찾아보세요!

공유

facebooktwitterpinterestbandkakao story
퍼머링크

댓글 6

profile image
김세광 2009.02.11. 09:57

감사합니다. 드뎌 대장님 이름으로 보게 되는군요 ㅠㅠ

오찌나 반가운지 많이 바쁘셨나봅니다. ^^

기멀전이 이제 따뜻해 지는 건가요?

profile image
김세광 2009.02.12. 09:57

보안패치를 하려고 했더니 언어가 다르다고 되지 않는데요 ^^;

제가 컴맹인거 아시죠?

어떻게 해야 할까요?

홈피에서 다운 받아야 할까요 언어는 어디서 확인을 할 수 있는건가요? ^^;

부탁드려요 _._;

profile image
푸른하늘 2009.02.12. 19:40

감사합니다. 대장님. *^_^*

빨리 해봐야지

profile image
푸른하늘 2009.02.14. 11:36
말씀해주신 방법대로 했는데도 잘 안되네요. 아마 다른 형태의 바이러스가 아닌지 ... ㅋ~~
하는 수없이 하드디스크를 포맷하는 시련을 겪어야 할 것 같습니다.
알약,V3로는 검출도 안되니...?
익스플로러가 제대로 실행이 안되고.. 파이어 폭스도... 구글 크롬만이 정상작동됩니다.
profile image
희망봉 2009.02.17. 07:28
저도 할려고 준비중.. 감사합니다.
권한이 없습니다. 로그인

신고

"님의 댓글"

이 댓글을 신고 하시겠습니까?

삭제

"님의 댓글"

이 댓글을 삭제하시겠습니까?