%HomeDrive% - 로그인한 계정의 정보가 들어있는 드라이브
%HomePath% - 로그인한 계정의 폴더
%SystemDrive% - 윈도우가 부팅된 드라이브
%SystemRoot% - 부팅된 운영체제가 들어있는 폴더
%ProgramFiles% - 기본 프로그램 설치 폴더
%TEMP%, %TMP% - 임시 파일이 저장되는 폴더
%ComSpec% - 기본 명령 프롬프트 프로그램
%USERDOMAIN% - 로그인한 시스템의 도메인 명
%USERNAME% - 로그인한 계정 이름
%USERPROFILE% - 로그인한 유저의 프로필이 들어있는 폴더명
%ALLUSERPROFILE% - 모든 사용자 프로필이 저장된 폴더
%APPDATA% - 설치된 프로그램의 필요 데이터가 저장된 폴더
%LOGONSERVER% - 로그인한 계정이 접속한 서버명
%Path% - 실행 참조용 폴더 지정 목록
%PathEXT% - 참조용 폴더에서 검색한 파일들의 확장자 목록

IFEO를 이용해서 특정 프로그램이 실행될 때 악성코드가 같이 실행될 수 있다.
중국산 악성코드에서 많이 이용되고 있다.

HKLM\software\microsoft\windows NT\currentversion\image file execution options

360rpt.exe
360Safe.exe
360tray.exe
adam.exe
AgentSvr.exe
AppSvc32.exe
autoruns.exe
avgrssvc.exe
AvMonitor.exe
avp.com
avp.exe
CCenter.exe
ccSvcHst.exe
FileDsty.exe
FTCleanerShell.exe
HijackThis.exe
IceSword.exe
iparmo.exe
Iparmor.exe
isPwdSvc.exe
kabaload.exe
KaScrScn.SCR
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
KPFW32.exe
KPFW32X.exe
KPFWSvc.exe
KRegEx.exe
KRepair.COM
KsLoader.exe
KVCenter.kxp
KvDetect.exe
KvfwMcl.exe
KVMonXP.kxp
KVMonXP_1.kxp
kvol.exe
kvolself.exe
KvReport.kxp
KVSrvXP.exe
KVStub.kxp
kvupload.exe
kvwsc.exe
KvXP.kxp
KWatch.exe
KWatch9x.exe
KWatchX.exe
loaddll.exe
MagicSet.exe
mcconsol.exe
mmqczj.exe
mmsk.exe
NAVSetup.exe
nod32krn.exe
nod32kui.exe
PFW.exe
PFWLiveUpdate.exe
QHSET.exe
Ras.exe
Rav.exe
RavMon.exe
RavMonD.exe
RavStub.exe
RavTask.exe
RegClean.exe
rfwcfg.exe
RfwMain.exe
rfwProxy.exe
rfwsrv.exe
RsAgent.exe
Rsaupd.exe
runiep.exe
safelive.exe
scan32.exe
shcfg32.exe
SmartUp.exe
SREng.exe
symlcsvc.exe
SysSafe.exe
TrojanDetector.exe
Trojanwall.exe
TrojDie.kxp
UIHost.exe
UmxAgent.exe
UmxAttachment.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
UpLive.EXE
WoptiClean.exe
zxsweep.exe

요즘 기승을 부리고 있는 중국산 악성코드들이다.
Shell 부분에 달라붙어 있고, 파일이 경로에서 제거되면 다시 설치를 한다.
그래서 백신에서 한꺼번에 제거하지 않는 이상 쉽게 치료하기 어렵다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks

{CC3596CB-D6C1-ECA1-AE51-DEEA63F6C21C}-C:\Program Files\Internet Explorer\OnlO0r.dll
{3422FB0F-95EB-458A-8B56-39552017A4EF}-C:\WINDOWS\system32\mhdoor0.dll
{5731EA1D-6AAF-4DE9-BDDA-7B390A75B286}-C:\WINDOWS\system32\wodoor0.dll
{11DB88F9-409B-475E-8FD7-411653F6D367}-C:\WINDOWS\system32\55550.dll
{32C4BAF4-0411-4000-BDFB-A6F71E669F8C}-C:\WINDOWS\system32\csdoor0.dll
{E03C23BD-35B7-49C2-BBCA-6D8CEC2507E3}-C:\WINDOWS\system32\wldoor0.dll
{A3C95A74-638D-4C6B-A856-4B27664A7F47}-C:\WINDOWS\system32\wgdoor0.dll
{D8CC4845-441C-44F8-9053-28F2EF67655B}-C:\WINDOWS\system32\dadoor0.dll
{A120A1D0-CBCC-4F9B-A183-78B27E4C1B5C}-C:\WINDOWS\system32\dh3oor0.dll
{6826A3DB-EA8E-4E67-880D-53D04C7C0BD8}-C:\WINDOWS\system32\qjdoor0.dll
{EDFF29C1-5A70-4460-AC1D-16DCB4B672F0}-C:\WINDOWS\system32\rxdoor0.dll
{68F7767A-090C-4BBF-A015-720ACC6706E2}-C:\WINDOWS\system32\wddoor0.dll
{08E909A4-B236-48DD-8BCC-90A604B93E68}-C:\WINDOWS\system32\tldoor0.dll
{781FBCC1-99C7-4AE0-95F7-66EA49E86DD7}-C:\WINDOWS\system32\zxdoor0.dll
{4E3FBFA4-F1CC-4B66-B333-B9F0FF4B4748}-C:\WINDOWS\system32\mydoor0.dll
{ABD0935D-B35A-47BD-BA9A-81678DDE74DD}-C:\WINDOWS\system32\qhdoor0.dll
{04A0CB31-FDEB-4EB8-889B-E00ED87BCE23}-C:\WINDOWS\system32\cqdoor0.dll
{BD9B003B-0BE6-4528-A9D9-B8DBACAC6B9B}-C:\WINDOWS\system32\fydoor0.dll

C:\Program Files\Common Files\fjOs0r.dll
C:\Program Files\Internet Explorer\OnlO0r.bak
C:\Program Files\Internet Explorer\OnlO0r.dll
C:\WINDOWS\system32\mhdoor0.dll
C:\WINDOWS\system32\wodoor0.dll
C:\WINDOWS\system32\55550.dll
C:\WINDOWS\system32\csdoor0.dll
C:\WINDOWS\system32\wldoor0.dll
C:\WINDOWS\system32\wgdoor0.dll
C:\WINDOWS\system32\dadoor0.dll
C:\WINDOWS\system32\dh3oor0.dll
C:\WINDOWS\system32\qjdoor0.dll
C:\WINDOWS\system32\rxdoor0.dll
C:\WINDOWS\system32\wddoor0.dll
C:\WINDOWS\system32\tldoor0.dll
C:\WINDOWS\system32\zxdoor0.dll
C:\WINDOWS\system32\mydoor0.dll
C:\WINDOWS\system32\qhdoor0.dll
C:\WINDOWS\system32\cqdoor0.dll
C:\WINDOWS\system32\fydoor0.dll

Virut 은 .EXE 나 .SCR 등의 실행파일을 감염시켜서 활동하는 바이러스이다.

폴리모픽(다형성)에 시작점 불명확기법(EPO), 암호화(XOR) 등을 이용하며, 메모리 감염, Winlogon.exe 삽입 등으로 치료가 쉽지 않은 종류이다.

최근까지 약 49종의 변종이 나오고 있으며, 제작자가 계속 변종을 만들고 있고, 일부 버전은 ASM 소스도 공개되어있다. 최신 변종을 진단하는 백신은 그리 많지 않으니 조심해야 겠다.

또한, 가장 근래에 발견된 것들은 내부에 Downloader 기능을 넣어두어, 디버깅할 때 바이러스가 아닌 것으로 잘못 분석할 수도 있고, 실제로 일부 백신은 트로이목마로 추가하고 있어 감염된 파일을 치료하지 않고 삭제하는 경우도 보인다.

이상한 프로그램이 또 문제네요.

파일이나 폴더를 숨겨주는 유틸리티인데 문제는 다른 광고프로그램들에 의해서 사용자 동의없이 배포되어 설치되고, 본인인증하기를 하면 휴대폰 소액결재 창을 보여주어 과금을 유도하네요.

악성코드로 보였는지 안철수 연구소에서 해당 파일을 진단하자 마이컴고에 공지가 올라왔네요.
안철수 연구소에 전화해서 항의하라는 어처구니 없는 글이네요.

http://www.mycomgo.com/customer/notice/content.jsp?tb_name=tb_notice&nt_id=15&nt_listnum=11

삭제방법
http://www.mycomgo.com/help/hp3.html

뉴스
http://www.segye.com/Service5/ShellView.asp?TreeID=1052&PCode=0007&DataID=200711021638000174

이스트 소프트에서 알약 무료 백신 공개

[소개]
http://www.alyac.co.kr/Public/PreviewDownLoad.aspx

[다운로드]
http://aldn.altools.co.kr/ALYac10beta.exe
http://altools.qcdn.kr/altools/ALYac10beta.exe

유포 : e-mail
이름 : dancer.exe

자신의 복사본과 컴포넌트 파일을 설치한다.

%Windows%\noskrnl.exe
%System%\NOSKRNL.SYS
%System%\noskrnl.config

임의의 폴더 등에 복사본인 _install.exe 를 생성하여 사용자 실행을 유도한다.