요즘 기승을 부리고 있는 중국산 악성코드들이다.
Shell 부분에 달라붙어 있고, 파일이 경로에서 제거되면 다시 설치를 한다.
그래서 백신에서 한꺼번에 제거하지 않는 이상 쉽게 치료하기 어렵다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks

{CC3596CB-D6C1-ECA1-AE51-DEEA63F6C21C}-C:\Program Files\Internet Explorer\OnlO0r.dll
{3422FB0F-95EB-458A-8B56-39552017A4EF}-C:\WINDOWS\system32\mhdoor0.dll
{5731EA1D-6AAF-4DE9-BDDA-7B390A75B286}-C:\WINDOWS\system32\wodoor0.dll
{11DB88F9-409B-475E-8FD7-411653F6D367}-C:\WINDOWS\system32\55550.dll
{32C4BAF4-0411-4000-BDFB-A6F71E669F8C}-C:\WINDOWS\system32\csdoor0.dll
{E03C23BD-35B7-49C2-BBCA-6D8CEC2507E3}-C:\WINDOWS\system32\wldoor0.dll
{A3C95A74-638D-4C6B-A856-4B27664A7F47}-C:\WINDOWS\system32\wgdoor0.dll
{D8CC4845-441C-44F8-9053-28F2EF67655B}-C:\WINDOWS\system32\dadoor0.dll
{A120A1D0-CBCC-4F9B-A183-78B27E4C1B5C}-C:\WINDOWS\system32\dh3oor0.dll
{6826A3DB-EA8E-4E67-880D-53D04C7C0BD8}-C:\WINDOWS\system32\qjdoor0.dll
{EDFF29C1-5A70-4460-AC1D-16DCB4B672F0}-C:\WINDOWS\system32\rxdoor0.dll
{68F7767A-090C-4BBF-A015-720ACC6706E2}-C:\WINDOWS\system32\wddoor0.dll
{08E909A4-B236-48DD-8BCC-90A604B93E68}-C:\WINDOWS\system32\tldoor0.dll
{781FBCC1-99C7-4AE0-95F7-66EA49E86DD7}-C:\WINDOWS\system32\zxdoor0.dll
{4E3FBFA4-F1CC-4B66-B333-B9F0FF4B4748}-C:\WINDOWS\system32\mydoor0.dll
{ABD0935D-B35A-47BD-BA9A-81678DDE74DD}-C:\WINDOWS\system32\qhdoor0.dll
{04A0CB31-FDEB-4EB8-889B-E00ED87BCE23}-C:\WINDOWS\system32\cqdoor0.dll
{BD9B003B-0BE6-4528-A9D9-B8DBACAC6B9B}-C:\WINDOWS\system32\fydoor0.dll

C:\Program Files\Common Files\fjOs0r.dll
C:\Program Files\Internet Explorer\OnlO0r.bak
C:\Program Files\Internet Explorer\OnlO0r.dll
C:\WINDOWS\system32\mhdoor0.dll
C:\WINDOWS\system32\wodoor0.dll
C:\WINDOWS\system32\55550.dll
C:\WINDOWS\system32\csdoor0.dll
C:\WINDOWS\system32\wldoor0.dll
C:\WINDOWS\system32\wgdoor0.dll
C:\WINDOWS\system32\dadoor0.dll
C:\WINDOWS\system32\dh3oor0.dll
C:\WINDOWS\system32\qjdoor0.dll
C:\WINDOWS\system32\rxdoor0.dll
C:\WINDOWS\system32\wddoor0.dll
C:\WINDOWS\system32\tldoor0.dll
C:\WINDOWS\system32\zxdoor0.dll
C:\WINDOWS\system32\mydoor0.dll
C:\WINDOWS\system32\qhdoor0.dll
C:\WINDOWS\system32\cqdoor0.dll
C:\WINDOWS\system32\fydoor0.dll

Virut 은 .EXE 나 .SCR 등의 실행파일을 감염시켜서 활동하는 바이러스이다.

폴리모픽(다형성)에 시작점 불명확기법(EPO), 암호화(XOR) 등을 이용하며, 메모리 감염, Winlogon.exe 삽입 등으로 치료가 쉽지 않은 종류이다.

최근까지 약 49종의 변종이 나오고 있으며, 제작자가 계속 변종을 만들고 있고, 일부 버전은 ASM 소스도 공개되어있다. 최신 변종을 진단하는 백신은 그리 많지 않으니 조심해야 겠다.

또한, 가장 근래에 발견된 것들은 내부에 Downloader 기능을 넣어두어, 디버깅할 때 바이러스가 아닌 것으로 잘못 분석할 수도 있고, 실제로 일부 백신은 트로이목마로 추가하고 있어 감염된 파일을 치료하지 않고 삭제하는 경우도 보인다.

이상한 프로그램이 또 문제네요.

파일이나 폴더를 숨겨주는 유틸리티인데 문제는 다른 광고프로그램들에 의해서 사용자 동의없이 배포되어 설치되고, 본인인증하기를 하면 휴대폰 소액결재 창을 보여주어 과금을 유도하네요.

악성코드로 보였는지 안철수 연구소에서 해당 파일을 진단하자 마이컴고에 공지가 올라왔네요.
안철수 연구소에 전화해서 항의하라는 어처구니 없는 글이네요.

http://www.mycomgo.com/customer/notice/content.jsp?tb_name=tb_notice&nt_id=15&nt_listnum=11

삭제방법
http://www.mycomgo.com/help/hp3.html

뉴스
http://www.segye.com/Service5/ShellView.asp?TreeID=1052&PCode=0007&DataID=200711021638000174

이스트 소프트에서 알약 무료 백신 공개

[소개]
http://www.alyac.co.kr/Public/PreviewDownLoad.aspx

[다운로드]
http://aldn.altools.co.kr/ALYac10beta.exe
http://altools.qcdn.kr/altools/ALYac10beta.exe

유포 : e-mail
이름 : dancer.exe

자신의 복사본과 컴포넌트 파일을 설치한다.

%Windows%\noskrnl.exe
%System%\NOSKRNL.SYS
%System%\noskrnl.config

임의의 폴더 등에 복사본인 _install.exe 를 생성하여 사용자 실행을 유도한다.