
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe"
경로를 찾아가시고 오른쪽 차에서 Debugger 값으로 C:\WINDOWS\Media\rndll32.pif가 적혀있을 경우
값의 내용을 삭제하거나 Dubugger를 통째로 삭제하면 정상적으로 실행됨
아래와 같은 레지스트리를 생성하여 해당 프로그램 시작시 자기 자신을 실행시키도록 하기 때문에 이상이 생길경우 아래 파일들을 점검해 보아야 합니다.
< Win32.HLLW.Autoruner.Based의 감염 특징>
ㅇ Win32.HLLW.Autoruner.Based 에 감염되면, 아래와 같은 경로에 자기 자신을 복사한다. - 모두 동일한 파일들로 동일 진단명으로 검출된다.
- %Windir%\\Fonts\\Fonts.exe
- %Windir%\\Fonts\\tskmgr.exe
- %Windir%\\pchealth\\helpctr\\binaries\\HelpHost.com
- %Windir%\\pchealth\\Global.exe
- %Windir%\\system\\KEYBOARD.exe
- %Windir%\\Help\\microsoft.hlp
- %Windir%\\Media\\rndll32.pif
- %system%\\dllcache\\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\\svchost.exe
- %system%\\dllcache\\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\\Global.exe
- %system%\\dllcache\\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\\system.exe
- %system%\\drivers\\drivers.cab.exe
- %system%\\drivers\\Global.exe
- %system%\\drivers\\svchost.exe
- %system%\\dllcache\\Default.exe
* 기본적인 윈도우 폴더(%Windir%)
-Windows 9X/ME/XP: %Windir%
-Windows NT/2000: C:\\Winnt
* 기본적인 윈도우 시스템 폴더(%system%)
- Windows 9X/ME/XP: %Windir%\\SYSTEM
- Windows NT/2000: C:\\Winnt\\system32
- Windows XP: %Windir%\\system32
ㅇ Win32.HLLW.Autoruner.Based 에 감염된 시스템은 모든 루트 드라이브와 [%system%\\dllcache\\]에 자신의 복사본과 Autorun.inf 를 생성하기 때문에 해당 드라이브 또는 폴더를열 때 자동실행 되어진다.
(이동식 디스크가 연결 시 이동식 디스크의 루트 드라이브에 자신과 Autorun.inf를 생성하기 때문에 이동식디스크에 의해서 다른 시스템에 전파될 수 있다.)
- C:\\MS-DOS.com
- C:\\autorun.inf
- %system%\\dllcache\\autorun.inf
autorun.inf 파일의 내용은 아래와 같다.
[autorun]
Open=MS-DOS.com
Shellexecute=MS-DOS.com
Shell\\Open\\command=MS-DOS.com
Shell\\Explore\\command=MS-DOS.com
* Autorun.inf 파일 자체는 악의적인 기능은 없지만, 드라이브가 연결될 경우 자동실행 되기 위한 정보를
가진 설치정보파일(.inf)이다.
ㅇ Win32.HLLW.Autoruner.Based 바이러스는 자동 실행을 위해 아래와 같은 VBS(Visual Basic Script) 파일을 생성하고, 실행한다.
- %Windir%\\Cursors\\Boom.vbs
* vbs 파일은 Wscript.exe 프로세스를 이용 하여 실행되며, Boom.vbs 실행 시 바이러스 파일들이 존재하는지 확인하고, 지정된 경로에 자신을 복사 또는 생성 하며, 자동 실행을 위한 특정 레지스트리 값을 변경한다.
<레지스트리 변경>
ㅇ Win32.HLLW.Autoruner.Based 는 다음과 같은 레지스트리의 변경 하여 숨김 속성을 된 자기 자신을 숨긴다.
-[HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\NOHIDDEN]
CheckedValue: 0x00000001
-[HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL]
CheckedValue: 0x00000002
<레지스트리 생성>
ㅇ Win32.HLLW.Autoruner.Based 는 다음과 같은 레지스트리를 생성하여 모든 exe,com 파일의 확장자를 보이지 않게한다.
- [HKLM\\Software\\Classes\\comfile]
NeverShowExt: "1"
- [HKLM\\Software\\Classes\\exefile]
NeverShowExt: "1"
ㅇ Win32.HLLW.Autoruner.Based 는 다음과 같은 레지스트리를 생성하여 해당 프로그램 시작 시 자기 자신을 실행 시키도록 한다.
- [HKLM\\Software\\Classes\\regfile\\shell\\open\\command]
"C:\\WINDOWS\\pchealth\\Global.exe"
- [HKLM\\Software\\Classes\\MSCFile\\Shell\\Open\\Command]
"C:\\WINDOWS\\Fonts\\Fonts.exe"
- [HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options]
auto.exe\\Debugger: "C:\\WINDOWS\\system32\\drivers\\drivers.cab.exe"
autorun.exe\\Debugger: "C:\\WINDOWS\\system32\\drivers\\drivers.cab.exe"
autoruns.exe\\Debugger: "C:\\WINDOWS\\system32\\drivers\\drivers.cab.exe"
boot.exe\\Debugger: "C:\\WINDOWS\\Fonts\\fonts.exe"
ctfmon.exe\\Debugger: "C:\\WINDOWS\\Fonts\\Fonts.exe"
msconfig.exe\\Debugger: "C:\\WINDOWS\\Media\\rndll32.pif"
procexp.exe\\Debugger: "C:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpHost.com"
taskmgr.exe\\Debugger: "C:\\WINDOWS\\Fonts\\tskmgr.exe"
- [HKU\\S-1-5-21-436374069-776561741-682003330-1004\\Control Panel\\Desktop]
SCRNSAVE.EXE: "C:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpHost.com"
AutoEndTasks: "1"
ScreenSaveTimeOut: "30"
ㅇ Win32.HLLW.Autoruner.Based 는 다음과 같은 레지스트리를 생성라하여 자기 윈도우 종료 및 시작 및 로그오프 시 자신을 실행 시키도록 한다.
- [HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\policies\\Explorer\\Run]
sys: "C:\\WINDOWS\\Fonts\\Fonts.exe"
- [HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]
"C:\\WINDOWS\\system\\KEYBOARD.exe"
- [HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce]
"C:\\WINDOWS\\system32\\dllcache\\Default.exe"
- [HKLM\\Software\\Policies\\Microsoft\\Windows\\System\\Scripts\\Shutdown\\0]
Script: "C:\\WINDOWS\\Cursors\\Boom.vbs"
DisplayName: "Local Group Policy"
FileSysPath: ""
GPO-ID: "LocalGPO"
GPOName: "Local Group Policy"
SOM-ID: "Local"
- [HKLM\\Software\\Policies\\Microsoft\\Windows\\System\\Scripts\\Startup\\0]
Script: "C:\\WINDOWS\\Cursors\\Boom.vbs"
DisplayName: "Local Group Policy"
FileSysPath: ""
GPO-ID: "LocalGPO"
GPOName: "Local Group Policy"
SOM-ID: "Local"
- [HKU\\S-1-5-21-436374069-776561741-682003330-1004\\Software\\Policies\\Microsoft\\Windows\\System\\Scripts\\Logoff\\0]
Script: "C:\\WINDOWS\\Cursors\\Boom.vbs"
DisplayName: "Local Group Policy"
FileSysPath: ""
GPO-ID: "LocalGPO"
GPOName: "Local Group Policy"
SOM-ID: "Local"
'자료 > Window' 카테고리의 다른 글
갑자기 인터넷이 안되는 경우 해결 방법은? (0) | 2010.11.15 |
---|---|
USB 장치로 부팅하는 방법 (0) | 2010.10.26 |
지정된 시각에 컴퓨터 자동종료 설정하기 (0) | 2010.10.23 |
구글 한글 검색 공급자 (0) | 2010.10.10 |
배치파일 기초 작성법 (0) | 2010.09.30 |