일단  웜 바이러스의 형태로 ,  Viruslist.com 에 공식 기재된 진단명은,
Net-Worm.Win32.Kido  입니다.
변종이  여기서 파생되어져서  이름이 여러가지로 바뀔수가 있습니다.


자신이 사용중인 Microsoft Windows 운영체제가
MS08-067   취약점의  보안패치가 설치되지 않았다면 , 웜 형태로 유입되어서 PC내부로 침투하게됩니다.

감염된 후에 원래 운영체제가 설치되어있었던  드라이브만 HDD 포맷한뒤 , 재설치한다해도 , 이 웜은 이동식 드라이브, Recycle 폴더에까지 흔적을 남기는데
이동식 드라이브에 남아있었던  웜의 잔재나,
혹은
Recycle 폴더내에 남아있었던  웜의 잔재들,  또는  OS 재설치후에도 보안패치가 설치되지 않았다면 웹으로부터 유입되어져서, 
또 다시 활동할수가 있기때문에



사람들이 흔히  포맷을 한뒤 새로 설치해도  지워지지가 않는다,
이건 뭔가 기계적인 문제일것이다.  라고 잘못 알기도 합니다.



백신업체에서 내놓은   Auto Remove Tool을 수행한뒤 , 보안패치를 하는방법과,
자신이 수동으로 삭제한뒤 , 보안패치를 하는 방법이 있습니다.







아래 번역된 내용은   Kaspersky 글로벌 사이트에서 변종버젼이 아닌,
최초로 발견되었었던 , Net-Worm.Win32.Kido  웜에 대한  내용과 그에따른  삭제방법입니다.

(Kaspersky 한국지사에서 소개한 방법과는 약간 상이할 수가 있습니다.)
 - 아마도 약간 변종에 대한 대처방법을 서술한듯 합니다.

좀더 자세한 삭제방법과 정보를 취득하고 싶다면 ,  다음 링크를 방문하십시오.
http://www.kaspersky.co.kr/board/bbs/board.php?bo_table=Malware&wr_id=277






-자동 제거 방법-

1.아래 파일을 받는다.

2. KidoKiller.exe  를 실행합니다.

3. 검사가 끝날때까지 기다립니다.

4. 최신버젼의 백신으로 업데이트 한뒤 , 전체검사를 수행합니다.

5. 보안패치를 실시합니다.



                               위의 파일은  WindowsXP ,   아래 파일은  Widows Vista 입니다.




-수동 제거 방법-
  1. 아래 경로의 레지스트리 키를 삭제합니다.
    [HKLM\SYSTEM\CurrentControlSet\Services\netsvcs] -> 이 경로에 netsvcs 란 키는 원래 존재하지 않습니다.

  2. [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost] "netsvcs"
    위 경로로 가면 netsvcs 내용에 키 파라메터가 2개 있는데 ,이 웜바이러스는 그 파라메터 값을 이용해서(필자 같은경우는 (12320, 1) 2개가 있음)
    System32 이하에   <rnd>.dll   형식의 파일을 만듭니다. (rnd는   무작위를 뜻합니다.)
    그 파일들을 모두 삭제합니다.

  3. 컴퓨터를 재부팅 합니다.
  4. 원래의 웜 파일을 삭제합니다. (이 원래 웜파일의 위치는 당신 컴퓨터에 웜이 어떻게 침투했느냐에 따라서 달라집니다).
  5. system32 폴더에 들어가서 아래와 같은 형식의 파일을 삭제합니다.

    <rnd>.dll    ( <rnd> 부분은 랜덤으로 생성됩니다.)

  6. 모든 이동식 저장 장치에 들어간뒤 , 아래 경로와 파일을 삭제합니다. 들어가서  삭제합니다.

    <X>:\autorun.inf <X>:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\<rnd>.vmx
    rnd는  랜덤으로 생성되는 이름이며 ,  X 는  이동식 디스크 드라이브 문자열을 말합니다. 

  7. 아래 파일을 OS 버젼에 맞게 내려받아서 설치합니다.



    위의 파일은  WindowsXP ,   아래 파일은  Widows Vista 입니다.

  8. 안티바이러스 SW를 설치하고 , 최신버젼의 DB로 업데이트 한뒤,   전체검사를 수행합니다.
반응형

'Useful Tips > SㆍW' 카테고리의 다른 글

Unix & AIX 서버 로그 저장 위치  (0) 2011.04.12
Windows 7 종료지연 문제 MS비공식 패치  (0) 2010.08.26
마이플랫폼 참고자료  (0) 2009.09.09
SSO 관련 자료  (0) 2009.09.02
JEUS 운영 및 관리  (0) 2009.09.01

+ Recent posts