Appendix/배움모음2010.04.13 07:19



이 바이러스의 증상은 크게  

1. C:/WINDOWS 폴더와 C:/, D:/ 등의 루트 폴더에 MS32DLL.dll. vbs 와 Autorun.inf를 만들어서 드라이브 액세스를 못하게 합니다. 이 경우 드라이브에 액세스 하기 위해서는 '마우스 우클릭 후 -> 열기' 의 방법을 통해서만 액세스 할 수 있습니다. 이동식디스크의 경우에도 마찬가지 입니다.

2. 윈도우 익스플로러 상단의 제목줄에 'Hacked by Godzilla' 라는 문구가 뜨게 됩니다.

3. 백그라운드서비스로 'wscript.exe' 를 실행시킵니다. .

4. 그 외에 exp1orer.exe파일이 explorer.exe 대신에 나타나기도 합니다.

5. 제가 얻은 정보로는 R2라는 게임의 hacking과 관련있다는 데 감염경로는 정확히 모르겠습니다..



따라서 바이러스를 수동적으로 치료하기 위해서 상당히 고된 작업이 따르게 됩니다.


1. 내컴퓨터 -> 도구 -> 폴더옵션 -> 보기탭을 선택한 후, '보호된 운영 체제 파일 숨기기'의 체크를 해제하고 '숨김파일 및 폴더 표시'를 선택합니다.


2. [Ctrl+Alt+Delete] 를 눌러  작업관리자를 불러온 다음 프로세스에서 모든 wscript.exe 프로세스를 종료합니다.


3.  c:\windows 폴더로 가서 MS32DLL.dll. vbs를 Shift키를 누른 상태에서 삭제합니다.


4. 각 드라이브의 루트폴더에서 역시 MS32DLL.dll. vbs 를 같은 방법으로 삭제하고 autorun.inf도 삭제합니다.


5. 시작버튼 -> 실행을 선택한 후 -> regedit 를 합니다

키는 [HKEY_LOCAL_ MACHINE\Software\micirosoft\windows\currunt vision\Run] 에서 MS32DLL이라고 써있는 값을 지웁니다.

또 regedit의 찾기 기능을 이용해 ms32DLL.dll. vbs와 관련된 값은 모두 지웁니다.


6. [HKEY_CURRENT_ USER\Software\ Microsoft\ Internet Explorer\Main] 으로 이동해서  'windows title' 값을 지웁니다(hacked by Godzilla라고 적혀있을 겁니다).


7. 시작버튼 -> 실행을 선택한후 gpedit.msc를 실행합니다.

사용자 구성 -> 관리템플릿 -> 시스템으로 이동해서 '자동실행 사용 안함' 더블 클릭하고 '사용' '모든 드라이브' 에 체크합니다. (이 작업은 필수는 아닙니다)


8. 시작버튼 ->실행을 선택한 후 msconfig을 실행하고 '시작프로그램'  탭을 선택하고 MS32DLL.dll. vbs 프로그램이 지정되어 있으면 삭제를 선택하고 닫습니다.


9. 보기옵션을 원래대로 하고 재부팅하면 끝납니다.

이런 비슷한 증상을 불러일으키는 바이러스 중에 USB를 통해 감염되는 녀석도 있습니다.  sxs.exe를 통해 감염되는 녀석인데 이 녀석도 트로이목마 계열로서 비슷한 증상을 나타냅니다(백신으로 치료됩니다)

그러므로 공공 컴퓨터에 접속한 USB는 바이러스 검사를 틈틈히 해주는 것이 좋습니다. 참 힘드네요!





Posted by 경호군

댓글을 달아 주세요