태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

'얼음칼'에 해당되는 글 1건

  1. 2008.02.15 파괴적인 얼음칼 (ICE SWORD) 바이러스
신종악성코드정보2008.02.15 08:58


ICESWORD.EXE 라는 파일명으로 자신을 생성시키는 겹쳐쓰기(Overwriting) 바이러스가 발견되었다.
정상적인 ICESWORD 프로그램처럼 위장을 하고 있어 주의가 필요하다.
아래 그림에서 아이콘을 유심히 봐 두면 좋겠다.

바이러스 파일의 크기는 589,942 바이트 이며, FlySFX 로 Packing 되어 있다.

중국에서 제작된 것으로 Autorun.inf 기법을 이용하며 실행파일(EXE)외에도 다양한 형태의 파일을 바이러스파일로 겹쳐쓰기(파괴)해 버린다. 따라서 기존 파일은 치료가 불가능하고 삭제한 후 새로 설치(Install)하여야 한다.

특이한 점은 자신이 설치한 Autorun.inf 파일을 다시 바이러스 코드로 겹쳐써 버린다는 점이다. 아마도 제작자가 예측하지 못한 점인듯 싶다. 따라서 Autorun.inf 기능이 정상적으로 작동하지 않을 수 있으며, C 가 아닌 다른 디스크 드라이브에는 또 다른 이름(ntldr)으로 자신을 설치한다.

시스템 파일들의 손상이 심한 경우 윈도우를 포맷하고 새로 설치해야 한다.

바로가기 (.lnk)
텍스트 (.txt)
인터넷 바로가기 (.url)
데이터 (.dat)
설정파일 (.ini)
등 다양한 형태의 파일이 바이러스에 의해서 파괴된다.

또한 AUTOEXEC.BAT 파일과 CONFIG.SYS 파일도 파괴되는 등 시스템에 큰 피해를 입힌다.

사용자 삽입 이미지

시스템 파일이 파괴되면 아래와 같은 메시지 창이 나타난다.

사용자 삽입 이미지

바로가기 등의 파일이나 빠른실행에 링크되어 있던 파일은 모두 손상이 되어 정상적으로 실행되지 않는다.

사용자 삽입 이미지

사용자 삽입 이미지

유명 (보안)프로그램의 서비스를 종료할려고 시도한다.

\System32\net.exe stop srservice
\System32\sc.exe config srservice start=disabled
\System32\net.exe stop KVWSC
\System32\sc.exe config KVWSC start=disabled
\System32\net.exe stop SharedAccess
\System32\sc.exe config SharedAccess start=disabled
\System32\net.exe stop KVSrvXP
\System32\sc.exe config KVSrvXP start=disabled
\System32\net.exe stop KavSvc
\System32\sc.exe config KavSvc start=disabled
\System32\net.exe stop RsRavMon
\System32\sc.exe config RsRavMon start=disabled
\System32\net.exe stop RsCCenter
\System32\sc.exe config RsCCenter start=disabled
\System32\sc.exe config AVP start=disabled
\System32\sc.exe config RfwService start=disabled

사용자 삽입 이미지

Posted by viruslab

댓글을 달아 주세요