9월 4일 금요일 즐거운 마음으로 퇴근을 하여 룰루랄라 컴터앞에 앉아 웹서핑을 하는데 갑자기 에러메세지가 연달아 3개 뜨기 시작하면서 그놈의 존재를 알게 되었다.
나으 귀중한 시간을 뺏어간 이름모를 독한넘!
아마 몇일전 모 사이트에서 추억의 고전게임 을 다운받을때 감염된듯하다.
최초증상은 C:\WINDOWS\DRIVER\ETC 폴더안의 HOSTS 파일 변형과 인터넷 접속불가
이건 V3실행결과 잡아낸 결과다. (아래 로그파일)


HOSTS 파일안에는 내용이 "127.0.0.1 Localhost" 라는 문구만 있어야 하는데 저렇게 엄한주소로 가득차있다.
V3는 더이상의 감염파일을 찾지못햇다.
분명 HOSTS 파일이 변형됬다면 그걸 변형시킨 악성코드가 존재할건데 그걸 못잡아내는것이었다.
그래서 이번엔 정밀검사를 실행해보니 여러가지 악성코드/바이러스들이 검색되었다.


V3검사 로그
V3로 감염파일 치료후 리부팅 하였으나 똑같은 현상이 다시 발생, 이건 뭔가 있다 싶어서 MSCONFIG 명령어로 시작파일 리스트를 보니 이상한 프로그램들이 있었다.


 


 

제일먼저 찾아 제거한건 umdmgr.exe
그다음은 addrive32.exe <--- 이넘은 교묘하게 히든속성으로 숨겨져 있었다.
그리고 User setting 폴더의 잡다한 파일들 모조리 삭제

다시 리부팅  --> 똑같은 증상 및 전에 삭제한 파일들 다시 설치

그리고 msconfig 의 리스트에 vse432, vsbntlo 파일 등록
그런데 웃긴게 저 두파일은 recycle(휴지통)안에 있다

(경로1 :  C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-181\vsbntlo.exe )
(경로2 : C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0851\vse432.exe )


 

휴지통을 열어보니 히든속성으로 위의 경로상 폴더가 존재하였다.
분명 휴지통 비우기를 했지만 저 2폴더외에 1개폴더 포함 3개폴더는 지워지지 않았다.

위 목록의 2개 폴더는 실행프로그램 강제종료후 삭제하였으나
3번째 폴더는 프로그램이 실행중이라며 삭제되지 않았다. (파일명 :csvcs.exe) 그러나 프로세스목록엔 그 파일이없었다.
직감상 요놈이 숙주 대장이란걸 직감햇다.

컴터를 리붓하니 아까 삭제했던 파일들이 다시 깔려있고 위 스샷처럼 목록에 등록이 되어있었다.

히든속성 파일보기로도 보이지 않는다. 프로세스목록에도 안보이고...

백신도 잡아내질 못한다. 속수무책이다. 보여야 잡던가 말던가 하지

할수없이  안전모드로 부팅을 시도해보았다. 그러나 안전모드 부팅시 계속 다운현상 발생

다른방법으로 안전모드(콘솔명령창) 모드로 부팅

-

이제 엣날 고딩때 배웠던 MS-DOS 명령어를 기억속에서 끄집어 낼때이다.

CD 명령어로 해당폴더를 찾아간후 (휴지통폴더안의 저 긴 폴더이름을 치느라 시껍했다)

 DIR /A 명령어로 파일의 존재를 확인할수 있었다.

ATTRIB CSVCS.EXE -H -S -R 로 히든,시스템,읽기전용 속성을 해제하였고 다시 깔렸던 2파일도 같은 방식으로 속성해제한후 DEL 명령으로 모두 삭제해 버렸다.

그리고 다시 부팅후 다시 깔린 잡다한 파일들을 V3와 알약으로 모두삭제

그 뒤로는 증상이 재발하지 않았다.

아마 휴지통의 숨겨져있던 CSVCS.EXE가 Downloader (다른 악성코드를 자동으로 설치하는 악성코드)이고 downloader에 의해 설치된 umdmgr.exe 와 avdriver32.exe 가 hosts 파일을 변형시킨게 아닌가 생각된다.

그 외 Documents & Settings\admin...\Local Settings\Temp 폴더의 잡다한 파일들은 뭐하는넘들인지...

일단 치료하긴 했지만 그 사이 내 개인정보가 새 나갔을지 무척 찜찜하다.


. . . . . . . . . . . . . . .


백신이 무력화 된 상태에서 주먹구구식으로 일단 때려잡았다.

하나 아쉬운건 백신도 못잡아낸 그넘을 백신연구소에 제보할것을.... 다 삭제한 후에 후회하였다.

그리고 내 아까운 주말중 하루가 날라갔다.


P.S : 이 글이 도움이 되셧다면 추천한방 꾹~

블로그 이미지

실버스티드

아날로그 세상을 꿈꾸며

댓글을 달아 주세요

  • BlogIcon Deborah 2009.09.07 21:20  댓글주소  수정/삭제  댓글쓰기

    바이러스때문에 고생한 기억이 나네요.

  • BlogIcon montreal flower delivery 2009.09.08 04:36  댓글주소  수정/삭제  댓글쓰기

    정말 대단 하십니다. 히든파일로 숨겨져있으면 정말 미웠엇는데, 저렇게하면 나타나게할수 잇군여

  • BlogIcon 실버스티드 2009.09.08 12:54 신고  댓글주소  수정/삭제  댓글쓰기

    http://kr.ahnlab.com/admSIVirusViewForHtml.ahn?seq_no=27946

    안철수 연구소에서 가져온 Recycler에 생성되는 바이러스/악성코드 정보입니다.
    아마 변형이지 싶은데 증상에대해서 별로 알려진게 없네요

  • 검색해서 찾아온사람 2009.09.09 23:29  댓글주소  수정/삭제  댓글쓰기

    정말 감사합니다..부팅할때마다 계속 생겨서 레지스트리까지 다지웠는데도...해결이 안되더라고요..
    보여주신데로 휴지통을 도스모드에서 뒤졌더니 답이나오네요..
    폴더이동이 이상하게 되질않아 그냥 rd/s recycler로 휴지통 폴더를 아애지웠다가
    새로 만들고 부팅했더니 이제 정상적이네요
    정말 감사드려요!!!

  • BlogIcon mygogosing 2009.09.16 00:03 신고  댓글주소  수정/삭제  댓글쓰기

    고생하셨군요. 꼭 이걸 처리해야 직성이 풀리는 그런 기분 알 거 같아요. ㅜㅠ

  • starer 2009.09.18 17:39  댓글주소  수정/삭제  댓글쓰기

    안녕하세요~윈도우 밀어버리고 다시 깔았는데도
    저게 계속 있길래 너무 답답한 마음에
    인테넷 뒤지다가
    좋은 정보를 발견하게되었네요

    그런데
    제가 여자라 컴타에 관심이 없었는지라..ㅠㅠㅠ
    히든모드라던가
    콘솔명령창이라던가 아예 모르겠네요.. 휴우~

    이거 고쳐야하긴 하겠고
    ㅋㅋㅋ
    +_+
    그냥 데리고 살까도 고민중입니다 ㅋㅋ

    단도직입적으로 콘솔명령창으로 안전모드 부팅은 무엇인가요??ㅋㅋ

    • BlogIcon 실버스티드 2009.09.19 00:31 신고  댓글주소  수정/삭제

      컴퓨터를 처음 부팅시키면

      램 용량표시하는 숫자가 쭈르르륵 올라가고

      IDE Channel 0 Master : None
      IDE Channel 0 Slave : None

      IDE Channel 2 Master : 하드드라이브 이름
      ... 기타등등

      이런 글자가 뜹니다..

      여기서 화면 넘어가자마자 F8번을 1초간격으로 연타를 해줍니다.
      (너무 빨리연타하면 삐~ 소리와함게 멈추기도 합니다.)

      그러면

      윈도우 부팅옵션 화면이 뜹니다.
      ----------------------------

      안전모드
      안전모드(네트워킹 사용)
      안전모드(명령 프롬프트 사용)

      기타등등메뉴..

      -------------------------------

      여기서 '안전모드(명령 프롬프트 사용)'

      을 선택하시면 안전모드(dos 창)로 들어가집니다.

  • starer 2009.09.19 14:23  댓글주소  수정/삭제  댓글쓰기

    감사해요>_<
    덕분에 깨끗해진 컴퓨터를...ㅋㅋ
    cd명령어도 구글로 찾아가면서

    컴퓨터를 쬐끔이나마
    알게된 계기 였어요^-^ㅋㅋ

    정말 감사합니다.


    서울 갈매기신거 같은데
    오늘부터 잠실 오던데 ㅋㅋ

    가셨는지 모르겠네요~
    ㅋㅋㅋ

    감사해요~

  • 김세훈 2009.12.24 13:38  댓글주소  수정/삭제  댓글쓰기

    유용한 글 보고 갑니다 ^^

  • BlogIcon 식군 2014.11.17 00:57  댓글주소  수정/삭제  댓글쓰기

    Izaviona 바이러스? USB전용바이러스 관련해서 검색해보다가 찾아들어왔습니다! . 백신스크립트파일로 치료했고요... 참 징그럽고(?) 소름돋네요.. 모르는새에 들어와서 제 폴더를 숨기다니...
    삭제된 줄 알았던 폴더들이 다행히도 살아있네요 ㅎㅎㅎㅎ 과제들이 가득담겨있었는데.. 암튼 유익한정보인거같아요 ㅎ 수고하세요!!