2008. 1. 8. 10:14ㆍIT&모바일&컴퓨터
autorun.inf를 이용하는 변종 바이러스들은 화일 이름등이 변경이 잦고, 변종들이 넘쳐난다.
V3, 카퍼스키등도 최신 바이러스에는 무용지물 이었다.(2008/1/4일 기준) 언제 부터 이 넘이 내 외장하드에 들어왔는지 알수 없었지만, 내 외장하드에게 autorun.inf화일과 ctfne.exe 화일을 계속 만들어 내고 있었다.카퍼스키가 잘잡어.. 깔아봐.
찝찝하다!
-
autorun.inf 파일이 바이러스프로그램을 가리키고있다.[autorun]
open = ctfne.exe
-
ctfne.exe 등의 역활?
A. 바이러스 몸체
B. 레지스트리 수정
메모리에 로드되면, 레지스트리를 수정한다.
-
시스템파일과 숨김파일등을 보기 옵션을 변경하지 못하도록 하기도
-
DHCP Service를 하도록 하고, 서비스 프로그램이 자기를 가르키도록한다. (무시무시.., DHCP Server기능을 켜놨다면-.-;)
C. 시작프로그램 등록
시작프로그램에 ctfmon.exe를 등록시킨다.이프로그램은 원래 윈도우용 정상 고급입력프로그램이다.
-
Windows폴더 안 prefetch폴더에 ctfmon.exe를 가장해서 ctfne.exe 등의 이름의 화일을 넣어둔다. 윈도우 구동시에 일명 지렁이 지나가는 sflash화면때, prefetch 폴더를 캐쉬삼아 프로그램등을 읽어 들인다. 쿵! 그래서 정상프로그램 이름인 ctfmon.exe를 실행하도록 시작프로그램목록에 넣고, prefetch 캐쉬 폴더에 그 이름으로 자기를 집어 넣는거다!@.@)
D. 정보수집
이전 버젼들의 autorun.inf 바이러스들과 같이 아마도 특정한 사이트에서 뭔가 다운받기를 시도하거나 어느 특정한 이메일등으로 정보를 날릴것이다.
그래서 치료를 시도하였다. 치료의 방법은 생각보다 간단하다
1. 안전모드 부팅
바이러스의 활동을 막기위해서다, 재부팅시키고 F8을 연타하면 여러가지 모드 선택할수 있게 나온다.(그림출처:http://www.eclean.or.kr/)
2. 하드 복구정보 수집 비활성화
바이러스를 지우는 것 까지 수집한다. System Volume Information등 안에 바이러스가 실제로 복사된다.-.-;
A. 내컴퓨터->속성->시스템복원->모든드라이브안함
참조 : http://vil.nai.com/vil/SystemHelpDocs/DisableSysRestore.aspx
3. 레지스트리 정리
레지스트리 작동, 시작->실행->regedit [엔터]
A. 레지스트리 창중 왼쪽창에서 내컴퓨터를 클릭->Ctrl+F
B. ctfne 등의 이름으로 검색시작(다음찾기 클릭)
- 모두 지워도 됨, 그러나 스마트 하게, 레지정리하려면
- 나는 다음을 지웠음.
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DHCP Service 의 키값 자체(하위 키값등도 동시에)
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\DHCP Service 의 키값 자체(하위 키값등도 동시에)
- {31791192-b8cf-11dc-8535-005056c00008} 키값자체 (안에 autorun에 관련된 shell로 ctfne를 가리키고 있었음) -> v3 백신도 이부분은 정리해주지 못한다.
- {5705937c-8dbb-11dc-8514-005056c00008} 키값자체 (안에 autorun에 관련된 shell로 ctfne를 가리키고 있었음) -> v3 백신도 이부분은 정리해주지 못한다.
4. 파일 검색(숨겨진 파일 및 폴더 검색으로)
autorun.inf 파일이 가리키고 있는 ctfne.exe 파일을 모두 지운다.
A. 내컴퓨터->Ctrl+F를 누름->모든 파일 및 폴더->고급옵션
시스템폴더검색,숨긴파일및폴더검색,하위폴더검색 옵션 켜기
B. 찾는 위치는 내컴퓨터, 파일 이름은 ctfne 등의 파일이름
C. 내가 찾아서 지운 것들.(15KB가 아닌 파일들을 지운다.정삳:2004/8/5생성일, 15KB)
- C:\windows\system32 에서 _ctfne.exe
- C:\windows\prefetch 에서 ctfne.exe-*.pf 다수 -> v3 백신도 이부분은 정리해주지 못한다.
- C:\program files\common file\microsoft shared\msinfo
- 각 디스크 루트(최상위폴더)에 있는 ctfne.exe와 autorun.inf
- 당연히 CD드라이브는 안지워도 되고, 원래 안지워진다.ㄷㄷㄷ
- C:\WINDOWS\$NtServicePackUninstall$ ctfmon.exe
- C:\WINDOWS\Prefetch의 CTFMON.EXE-0E17969B.pf 17KB
D. Recycler 폴더 안의 점검
이런 바이러스의 변종들은 다음과 같이 recycler 또는 Recycled 휴지통안에 바이러스의 본체를 숨길수도 있다.
[autorun]
shellexecute=Recycled\Recycled\ctfmon.exe
shell\Open(&O)\command=Recycled\Recycled\ctfmon.exe
shell=Open(&0)- 시작->실행->CMD [엔터]
- cd c:\recy [까지만 치고 탭(TAB)키를 이용해서 있는 폴더명 자동입력]
- c:\recycler로 이동되었다.
- dir ct* /S /AH /P [엔터]
- ctfmon 이나 ctfne, cftne 등이 있다면 다음과 같이 지운다.
- del ct* /P /F /S /AH [엔터] ('/A-' 를 해도 된다.)
- 바이러스라면 Y를, 아니면 N를 입력해준다. 아래는 옵션설명
- /P
- 각 파일을 삭제하기 전에 확인 프롬프트를 보여줍니다.
- 각 파일을 삭제하기 전에 확인 프롬프트를 보여줍니다.
- /F
- 읽기 전용 파일을 강제로 삭제합니다.
- /S
- 지정된 파일을 모든 하위 디렉터리에서 삭제합니다.
- /A
- 특성을 기준으로 삭제할 파일을 지정합니다.
- R 읽기 전용 파일
- S 시스템 파일
- H 숨김 파일
- A 기록 파일
- - 부정을 뜻하는 접두사
- 다른 모든 하드/USB드라이브에 가서 똑같이 작업한다.
- d: [엔터]
- cd d:\recy [까지만 치고 탭(TAB)키를 이용해서 있는 폴더명 자동입력]
- e, f, g, h 등등 가능한 모든 드라이브(CD드라이브는 당연 제외, ㄷㄷㄷx2)
5. 재시동(Rebooting)
기도하는 맘으로 재시동 하고 일반모드로 부팅후 윈도우 탐색기로 각 드라이브를 살펴본다. 내컴퓨터에서 각 드라이브를 더블클릭하지말고, 마우스 오른쪽으로 '탐색'선택해서 각 드라이브 최상위 폴더에 autorun.inf와 ctfne.exe 등이 있는 지 살펴본다.
아까 다 지웠는데, 다시 생겼다면 뭔가 더 필요해진것이다. 만약 없다면, 더블클릭으로 각 드라이브를 열어본다. 프로그램을 선택하는 창이 안나온다면 레지스트리까지 정리된것이다(요게 안되면 레지스트리 삭제에서 autorun과 shell이 나오는 부분의 삭제가 덜된것이다.)
-
더이상의 삽질은 없기를 바라며...
'IT&모바일&컴퓨터' 카테고리의 다른 글
| PDA활용 1편 iSiloX 4부 (0) | 2008.01.21 |
|---|---|
| PDA활용 1편 iSiloX 3부 (0) | 2008.01.21 |
| PDA활용 1편 iSiloX 2부 부분클립 하기 (0) | 2008.01.21 |
| PDA활용 1편 iSiloX 1부 (0) | 2008.01.21 |
| 현재 남아있는 tistory 주소 (0) | 2008.01.08 |