태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

신종악성코드정보2010. 6. 4. 14:44


cyban.exe, cyban0.dll 변종 악성코드 주의
cyban.exe 악성코드 ahnabc.exe 파일명으로 변경 유포
viruslab.tistory.com

그동안 국내에 국지적, 집중적으로 유포된 Cyban.exe, Cyabc.exe 형태의 온라인 게임 계정 탈취용 악성코드가 최근에 파일명을 안철수 연구소의 모듈처럼 위장하여 유포하는 형식으로 변경되었습니다.

이러한 파일명을 사용하는 이유는 악성코드가 마치 정상적인 파일처럼 오인하기 위한 목적이 크다고 할 수 있습니다.

특히, 이러한 악성코드는 매일 매일 변형되어 유포되고 있으며, 모든 로컬 드라이브와 이동식 드라이브에 Autorun.inf 파일을 악용한 숙주본을 생성해 두기도 하므로, 각별히 조심하셔야 겠습니다.

악성코드에 감염되면 시스템 폴더에 일부 숨김속성으로 다음과 같이 숨겨져 있습니다.

- ahnabc.exe
- ahnabc0.dll
- ahnie0.dll


사용자 삽입 이미지

그리고 각 드라이브마다 1is.exe, autorun.inf 파일 등을 생성하여 루트 드라이브 접근시 설정에 따라 악성코드가 자동으로 실행되도록 만들어 둡니다.

사용자 삽입 이미지

폴더 옵션의 숨김속성이 안보이도록 설정되어 있는 경우 해당 악성코드들은 보여지지 않을 수 있으며, 숨김속성 파일을 보이도록 설정해 둔 경우라도 악성코드에 감염되면 레지스트리가 변경되어 저절로 숨김속성 파일들이 보여지지 않도록 변경되기도 합니다.

Autorun.inf 기법을 악용한 악성코드의 자동실행 비활성화 방법 (두가지 방식 중 선택적으로 사용하시면 됩니다.)

■  서비스 변경 방식

시작버튼 -> 실행 -> gpedit.msc
그룹정책 -> 사용자구성 -> 관리템플릿 -> 시스템 -> 자동 실행 사용 안 함 -> 사용 ->
자동 실행 사용 안함 : 모든 드라이브

내컴퓨터 마우스오른쪽 버튼 -> 관리 -> 서비스 및 응용프로그램 -> 서비스 -> 이름 : ShellHWDetection -> Shell Hardware Detection 중지(사용안함)

■ 레지스트리 변경 방식

시작버튼 -> 실행 -> regedit.exe -> 레지스트리 편집기에서 아래 내용 확인 후 해제 값 적용

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
"NoDriveTypeAutoRun"=dword:00000091 (자동 실행 설정/기본값)
"NoDriveTypeAutoRun"=dword:00000000 (자동 실행 설정)
"NoDriveTypeAutoRun"=dword:000000ff (자동 실행 해제)

폴더옵션은 다음과 같이 설정되어 있어야 숨겨진 악성코드가 보여집니다. 일부 악성코드가 실행(감염)되어 있을 경우에는 폴더 옵션을 변경하지 못하도록 방해하는 경우가 있기 때문에 먼저 악성코드를 제거하거나, 안전모드(F8) 등에서 폴더 옵션을 변경하여야 할 수 있습니다.


다음 프로그램은 안철수 연구소에서 무료로 배포하고 있는 것으로 악성코드 등에 의해서 조작된 일부 레지스트리를 복구해 주는 도구입니다.

Registry Fix Tool

* 실행 전 주의 및 참고 사항은 다음과 같습니다.

1. 특정 레지스트리 정보를 악용하여 원래의 프로그램의 실행을 방해 하는 증상을 갖는 악성코드가 많이 존재를 합니다.

본 유틸리티는 악성코드가 변경한 레지스트리 정보를 수정하는 프로그램 입니다.

추가된 치료 속성은 다음과 같습니다.

- Image File Excution Options 값 치료
- taskmgr 사용금지 해제
- regedit 사용금지 해제
- 폴더 옵션변경 사용금지 해제
- 시작 -> 실행 사용금지 해제
- CMD 사용금지 옵션 해제
- 시스템 복원 설정 변경 금지 해제
- 시스템 복원 사용 금지 해제


전용백신은 실행 후 치료성공 여부 또는 실패 메시지만 출력 됩니다.

2. 전용백신은 반드시 "관리자 권한" 으로 실행 되어야 합니다.

- 본 유틸리티는 전용백신과 달리 악성코드를 진단 / 치료하지 않으며 특정 악성코드들에 감염시 변경 된 레지스트리 정보를 수정하는데 사용 됩니다.

따라서 악성코드를 V3 제품군 또는 전용백신으로 치료 후에도 프로그램들이 정상적으로 동작하지 않을 경우 사용 하면 됩니다.  


Posted by viruslab

댓글을 달아 주세요