아래 내용은 윈도우에 대해서 어느정도 이해를 하고 있어야만 적용이 가능합니다 ^^
아래에 언급된 파일들을 전부 삭제해야 이후 재 감염이 안됩니다.
자세한 내용은 언급을 안하고 있으니 혹시나 모르시면 댓글을 달아주시기 바랍니다.
ㅆ욕과 푸념 조금
일단 주서모으고 스스로 좀 조사한 정보들을 모아봤다
증상은 모든 탐색기의 숨김폴더, 시스템파일 감추기가 항상 고정으로 체크되며
탐색기로 해당 드라이브를 열었을 때 무조건 새창으로 뜨면, 이미 바이러스에 감염 된 것이다.
ndtdelect.com 11월 부터 발견되기 시작한 바이러스 혹은 스파이웨어 인듯
주목적은 usb나 이동 디스크, 고정 하드 디스크에 자신을 복제 하고
Open, Explorer, Autorun 3개의 커맨드에 대해서 자신을 실행하도록 하는것이다.
이 바이러스의 주 목적은 dxvo.exe 라는 스파이웨어를 해당 PC에 설치 하기 위함이며, 이 kxvo.exe 는 아이디/패스워드를 해당 미리 정해진 곳으로 빼돌린다.
일단 될 수 있는 곳 까지 해서 원래상태로 돌려놓는 방법을 적어 볼까 한다.
regedit를 실행해서 "내 컴퓨터" 에서
"nndelect.com" 이나 "codelect.com" 을 검색해서 {0000-0000-0000000000-0000} 로 시작하는 레지 폴더를 삭제 한다.
이후 "kxvo.exe" 를 검색해서 키 값만 지운다.
"nndelect.com" 이나 "codelect.com" 을 검색해서 {0000-0000-0000000000-0000} 로 시작하는 레지 폴더를 삭제 한다.
이후 "kxvo.exe" 를 검색해서 키 값만 지운다.
주의 아래 작업을 도스 프롬프트에서 하는 이유는 "더이상 바이러스 진행을 막기 위해서 입니다." 바이러스 지운다고 탐색기로 이리저리 왔다 갔다 하는것은 바이러스에게 활동할 기회를 줄 수도 있다는것을 염두해주세요
도스 프롬프트 모드 "시작 -> 실행 -> cmd 엔터"를 통해서 들어간다.
> cd \ (최상위 폴더로 이동)
> attrib -s -h -r autorun.inf (파일 속성 변경 숨김/시스템/읽기전용 해제)
> del autorun.inf (자동 실행 설정 파일 삭제)
> attrib -s -h -r codelect.com (악성 파일 속성 변경)
> del codelect.com (악성 파일 삭제)
> attrib -s -h -r nndelect.com (codelect.com과 동일)
> del nndelect.com
각 드라이브 마다 위의 작업을 반복
> attrib -s -h -r autorun.inf (파일 속성 변경 숨김/시스템/읽기전용 해제)
> del autorun.inf (자동 실행 설정 파일 삭제)
> attrib -s -h -r codelect.com (악성 파일 속성 변경)
> del codelect.com (악성 파일 삭제)
> attrib -s -h -r nndelect.com (codelect.com과 동일)
> del nndelect.com
각 드라이브 마다 위의 작업을 반복
> cd c: (window 가 설치된 드라이브로 이동)
> dir /a /s kxvo.exe (스파이웨어 찾기)
아마도 여기서 c:\windows\system32\dxvo.exe로 찾게 될 겁니다.
> cd c:\windows\system32\ (해당 경로로 이동)
> attrib -s -h -r dxvo.exe (바이러스 파일 속성 변경)
> del dxvo.exe (바이러스 제거)
> dir /a /s kxvo.exe (스파이웨어 찾기)
아마도 여기서 c:\windows\system32\dxvo.exe로 찾게 될 겁니다.
> cd c:\windows\system32\ (해당 경로로 이동)
> attrib -s -h -r dxvo.exe (바이러스 파일 속성 변경)
> del dxvo.exe (바이러스 제거)
위와같이 한뒤 레지스트리 검사를 한번더 하시길 권합니다.
바이러스 프로그램을 설치해서 검사 하는것이 좀더 안 전할 수 있지만,
해당 버젼에 대해서 지원을 하지 않는다면 ㅡㅡ;; 이렇게 라도 대처를 해야지요
바이러스 누가 만들었는지는 모르지만 ㅆㅂㄻ들 걸리면 뒤져쓰
추가: 숨김폴더 잠금 기능을 해제 하는 방법
링크 : http://doubleso.egloos.com/1348931
추가: kxvo.exe 들과 찌끄러기들 목록
kxvo.exe, fool0.dll, fool1.dll, ieso0.dll, xpnvh.dll
위의 dll들은 explorer 라는 프로세서에 붙어 있으니 explorer를 강제종료 하고 위의 파일들을 삭제 해야 한다.
추가 적으로 레지스트리에서 해당파일을 검색해서 레지스트 트리, 키 값을 삭제 해줘야 한다.
발췌 : http://kr.ahnlab.com/info/smart2u/virus_detail_12288.html 안철수 바이러스
위의 dll들은 explorer 라는 프로세서에 붙어 있으니 explorer를 강제종료 하고 위의 파일들을 삭제 해야 한다.
추가 적으로 레지스트리에서 해당파일을 검색해서 레지스트 트리, 키 값을 삭제 해줘야 한다.
발췌 : http://kr.ahnlab.com/info/smart2u/virus_detail_12288.html 안철수 바이러스
추가2 : codelect.com 파일은 xxdelect.com 으로 변종되서 설치 된다. (파이러스 버젼에 따라서 이름이 각각 틀리다.)
하지만 공통사항으로 kxvo.exe 라는 파일과, ieso0.dll, ieso1.dll 파일을 사용한다. (이는 인터넷익스플로어에 추가되며, 인터넷에서 바이러스 본체를 받는대 사용된다.) 그리고 fool1.dll과 fool2.dll은 익스플로어(탐색기)에 추가되며 이는 숨김파일 등록과, xxdelect.com 파일을 생성하고 조정하는데 사용되는거 같다. -_-;; ㅅㅂㄻ
Posted by Naturallaw
