우연찮게 메일을 한통 받았습니다.
메일 내용은 "Your friend invited you to twitter!"
처음에는 아무 생각없이 "누가 나를 초대했구나"라고 단순하게 생각을 했는데, 다시 생각해보니 조금 이상했습니다. 전 트위터는 거의 하고 있지 않지만 계정은 가지고 있습니다. 그래서 누가 팔로잉 신청을 하면 한메일로 오게 되어 있는데, 해당 메일은 회사메일로 온것이죠. 더군다나 트위터 신청하는데 전혀 필요할것 같지 않은 압축파일 형태의 첨부파일은 더욱 더 의심스러웠습니다.
아니나 다를까 이것은 웜바이러스에 일종이더군요. 더 정확히 말하면 W32.Ackantta.B @ mm 바이러스로서 맬웨어를 설치하거나 다운로드 하는 기능에, 자기 복제기능이 있어 이동식 드라이브나 공유 폴더에 전염을 시킬수 있는 바이러스입니다.
그러니 이 메일을 보면 무조건 삭제하시기 바랍니다.
만약 실수로 이 파일을 다운받아 설치하셨다면 다음의 절차에 따라 조치하시면 됩니다.
저는 가끔 실험형(?) 블로거로서 왠만하면 포스팅하기 전에 직접 해보지만, 이번것은 위험을 뻔히 아는데 조금 주저스럽군요. 사실 실험을 포기했습니다.
희안하게 해당 바이러스 조치 방법에 대해 국내 검색엔진에 검색되는 것이 없어 해외 사이트를 참고했습니다.
아 그전에 백신 프로그램이 설치 되어 있다면, 그것으로 먼저 치료를 하는거 잊지 마세요....
해당 프로세스 중지
javale.exe
javame1.1.exe
javawx.exe
레지스트리 삭제
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\”
javastatio n2.3″ = “[RANDOM MONTH]”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\”
ultrasparc 2.3″ = “[RANDOM DAY]”
HKEY_CLASSES_ROOT\CLSID\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}\InprocServer32\”(Default)” = “%System%\[RANDOM FILE NAME].dll
HKEY_CLASSES_ROOT\CLSID\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}\InprocServer32 \”ThreadingModel” = “Both”
HKEY_CURRENT_USER\Software\Microsoft\Installer
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey
HKEY_CURRENT_USER\SOFTWARE\Microsoft\cavok
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download\”CheckExeSignatures” = “0×1″
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download\”RunInvalidSignatures” = “no”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
Associations
\”LowRiskFileTypes” = “.zip;.rar;.cab;.txt;.exe;.reg;.msi;.htm;.html;.bat;.cmd;.pif;.scr;.mov;.mp3;.wav”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\”1A10″ = “1″
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
”javastation1.1″ = “02″
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
”ultrasparc1.1″ = “25″
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Settings\”Time”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\
Parameters
\FirewallPolicy\StandardProfile\AuthorizedApplications\List\%System%\”javale.exe
” = “%System%\javale.exe:*:Enabled:Explorer”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\
AuthorizedApplications
\List\”%System%\javawx.exe” = “%System%\javawx.exe:*:Enabled:Explorer”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\”
SunJava Updater v7″ = “%System%\javale.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\”Sun Java Updater v7.4″ = “%System%\javawx.exe
javale.exe
javame1.1.exe
javawx.exe
레지스트리 삭제
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\”
javastatio n2.3″ = “[RANDOM MONTH]”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\”
ultrasparc 2.3″ = “[RANDOM DAY]”
HKEY_CLASSES_ROOT\CLSID\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}\InprocServer32\”(Default)” = “%System%\[RANDOM FILE NAME].dll
HKEY_CLASSES_ROOT\CLSID\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}\InprocServer32 \”ThreadingModel” = “Both”
HKEY_CURRENT_USER\Software\Microsoft\Installer
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey
HKEY_CURRENT_USER\SOFTWARE\Microsoft\cavok
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download\”CheckExeSignatures” = “0×1″
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download\”RunInvalidSignatures” = “no”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
Associations
\”LowRiskFileTypes” = “.zip;.rar;.cab;.txt;.exe;.reg;.msi;.htm;.html;.bat;.cmd;.pif;.scr;.mov;.mp3;.wav”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\”1A10″ = “1″
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
”javastation1.1″ = “02″
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
”ultrasparc1.1″ = “25″
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Settings\”Time”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\
Parameters
\FirewallPolicy\StandardProfile\AuthorizedApplications\List\%System%\”javale.exe
” = “%System%\javale.exe:*:Enabled:Explorer”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\
AuthorizedApplications
\List\”%System%\javawx.exe” = “%System%\javawx.exe:*:Enabled:Explorer”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\”
SunJava Updater v7″ = “%System%\javale.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\”Sun Java Updater v7.4″ = “%System%\javawx.exe
'IT 관련' 카테고리의 다른 글
| IOS5 업그레이드 후 어플이 사라진다? (0) | 2011.10.15 |
|---|---|
| 웹페이지 접속시 데이터 사용량은? (12) | 2010.10.26 |
| 리눅스에 MRTG 설치 및 설정 방법 (5) | 2010.09.04 |
| "인생은 아름다워 바이러스" 허위 경고 (5) | 2010.09.03 |
| 구글 크롬 "이 사이트를 방문하는 것이 컴퓨터에 해를 줄 수 있습니다.' (11) | 2010.08.18 |
