'린다웜'에 해당되는 글 1건

  1. 2007.07.06 린다 웜 확산에 따른 감염 주의 (4)

P2P 프로그램 쓰시는 분들은 주의하셔야 겠네요. 인터넷침해사고진흥센터에서 오늘 날짜로 올라온 자료입니다. 문제는 HAL에 관련된 파일을 변경합니다. 이 파일은 윈도 운영체제에서 아주 중요한 거 다 아시죠?

출처: http://www.krcert.net/secureNoticeView.do?seq=-1&num=209


□ 개요

   최근 국내에서 P2P를 통하여 전파되고, 감염 시 윈도우 부팅에 장애를 발생시키는 웜이 출현
   하여 주의가 필요
   P2P 사용자는 론다 웜이 생성하는 파일명과 동일한 파일들은  다운로드 및 실행하지 않도록
   주의 필요


□ 전파 방법

  o 프루나, 버디버디 P2P 공유폴더를 통하여 전파
     - 해당 웜은  감염 시 P2P 에 자신을 정상적인 파일로 위장하여 공유 시킴
     - P2P 사용자가 해당 파일을 검색 및 다운로드하여 실행시킬 경우 감염됨

  o 프루나 P2P 공유를 통하여 전파
        "C:\Program Files\Pruna\Incoming"  폴더 위치에 아래의 이름으로
        악성파일 생성 및 공유
                 muse - uno.mp3.scr
                 Daniel Powter - Free loop.mp3.scr
                 Vistar.scr
                 MP3.scr
                 GameCrack.scr
                 excel.scr
                 microsoft.scr
                 Crack.scr
                 비스타크랙.scr
                 비스타Crack.scr
                 최신음악.scr
                 크랙.scr
                 크랙파일.scr
                 Virut백신.scr                

  o 버디버디 P2P 를 통하여 전파
        "C:\programm files\buddybuddy\down\"  폴더 위치에 아래의 이름으로
        악성파일 생성 및 공유
                 slipout.scr
                 muse - uno.mp3.scr
                 Daniel powter - Free loop.mp3.scr
                 photo.scr


□ 악성 기능

  o 주요 시스템 파일 및 기타파일 삭제
     - 아래의 파일들을 삭제
         시스템폴더\hal.dll
         시스템폴더\Restore\rstrui.exe
         C:\WINDOWS\ServicePackFiles\i386\rstrui.exe
         시스템폴더\Restore\rstrui.exe
         시스템폴더\dllcache\rstrui.exe
        시스템폴더\Restore\rstrui.exe
         시스템폴더\dllcache\rstrui.exe
         C:\Program Files\Ahnlab\V3\*.*
         C:\Program Files\Ahnlab\V3
        시스템폴더\drivers\acpi.sys
         C:\Program Files\Microsoft Visual Studio\*.*
         D:\*.*
         시스템폴더\drivers\*.*

         ※ 참고: 윈도우시스템  주요 파일들은 Windows File Protection (WFP) 기능에 의하여
             자동 복구됨

  o 폴더 삭제
     - 아래의 폴더를 삭제시도 함
         C:\Program Files\Microsoft Visual Studio\

  o 안전모드로 부팅되도록 셋팅 
      - "C:\BOOT.INT" 파일의 마지막 라인에 "/safeboot:minimal" 문자열을 추가하여
         안전모드로 부팅되도록 셋팅

  o 시스템 재 부팅
      - 아래의 셀 스크립트를 실행하여 시스템을 재부팅 시킴
         "shutdown -s -t 60 -c jian1070_Final_kernel_asdwermm"

  o 프로세스 중단
      - 아래의 셀스크립트를 실행하여 msblster 및 explorer, iexplorer 프로세스를 중단시킴
         "C:\WINDOWS\system32\tskill msblast"
         "C:\WINDOWS\system32\tskill explorer"
         "C:\WINDOWS\system32\tskill iexplore"

  o 폴더 및 파일생성
      - 아래의 폴더 및 파일을 생성시킴
          C:\Program Files\Pruna\Incoming\Virut
          C:\net1.exe.scr
          C:\net_jian1070.exe.scr
          C:\net.exe.scr
          C:\jian1070.jpg.scr
          C:\jian1070.wmf.scr
          C:\asdwermm.eml

  o 악성코드 내에 아래의 문자열이 포함되어 있음
          Cause its hard for me to lose
          In my life Ive found only time will tell
          And I will figure out that we can baby


□ 감염 증상 

  o 감염 후 시스템 부팅에 장애가 발생하게 됨


□ 치료 방법

   1. 윈도우OS CD를 넣고 부팅 후  "윈도우 복원" 선택
  
   2. 윈도우 암호 입력 후 아래 명령 입력 후 재부팅

        cd c:\windows\system32
        expand e:\i386\hal.dl_
 
   3. 시작 -> 실행 -> "msconfig" 입력
        


   4. BOOT.INI 탭에서  "안전모드 부팅"  선택항목 해제
      


   5. 웜이 생성한 파일 삭제
 
        . 위치: C:\Program Files\Pruna\Incoming
        . 삭제할파일:  muse - uno.mp3.scr
                     Daniel Powter - Free loop.mp3.scr
                     Vistar.scr
                     MP3.scr
                     GameCrack.scr
                     excel.scr
                     microsoft.scr
                     Crack.scr
                     비스타크랙.scr
                     비스타Crack.scr
                     최신음악.scr
                     크랙.scr
                     크랙파일.scr
                     Virut백신.scr   
 
        . 위치:  C:\programm files\buddybuddy\down\
        . 삭제할파일: slipout.scr
                    muse - uno.mp3.scr
                    Daniel powter - Free loop.mp3.scr
                    photo.scr
 
        . 위치:  c:\
        . 삭제할파일:  C:\net1.exe.scr
                     C:\net_jian1070.exe.scr
                     C:\net.exe.scr
                     C:\jian1070.jpg.scr
                     C:\jian1070.wmf.scr
                     C:\asdwermm.eml

 
 □ 예방 방법 

  o 프루나 및 버디버디 P2P를 사용할 경우,  론다 웜이 생성하는 파일명과 동일한 파일들은
     다운로드 및 실행하지 않도록 주의


reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus


    Web Analytics Blogs Directory