티스토리 뷰

네이트온 쪽지로 오는 악성코드 조심하세요.

=== 자세한 내용 ===
우리집에 애완견인데 이뻐요?

http://www.noblein.com/images/event/?7101332.jpg

해당 링크 계속적으로 바뀝니다.

해당 링크를 클릭하게 되면 exe 파일을 다운로드 하게 됩니다.

iboscojpg.exe

이 파일은 압축이 되어있습니다.

압축을 풀게 되면

80.exe error.jpg kbu.exe w.exe 의 4개가 풀립니다.

iboscojpg.exe 라는 파일을 실행했을 경우

분석은 아직 덜 되었지만

%system\system32\coinme.exe
%system\system32\drivers\windf.hlp
explorer.exe\nwizsys32.dll
GrooveMonitor.exe\nwizsys32.dll
NMBgMonitor.exe\nwizsys32.dll
%system\system32\nwizsys32.exe


에 감염이 됩니다.

위 파일들은 윈도우 부팅이 되고 나서 explorer.exe가 실행되면 중요한 역할을 하는 파일들입니다.

아직 탐지하는 백신 프로그램이 카스퍼스키밖에 없습니다.

탐지를 하게 된다고 해도 파일을 삭제해버리기 때문에 치료하기 버튼을 절대 눌러서는 안 됩니다.

지금은 어찌 되는지 잘 모르겠지만요.. ㅋ

일단 감염이 되면 절대 컴퓨터를 재부팅 시킨 후에 네이트온 로그인을 하지 않으셔야합니다.

로그인을 하게 되면 네이트온 봇(추측)이 해당 아이디와 비밀번호를 가로채

원격지에서 로그인을 해서 친구목록 전체에게 똑같은 내용의 쪽지를 보내게 됩니다.

자세한 내용은 컴퓨터 고치고 문서로 올리도록 하겠습니다.

감사합니다.
댓글
  • 프로필사진 강윤배 이 트로이목마 바이러스 제거하는방법은 없나요? 2008.08.04 18:06
  • 프로필사진 익명 트로이의 목마는 다른 악성코드와는 달리 전염이되지 않습니다.
    실용성 있는 파일로 가장한 트로이의 목마 악성코드는 고대 그리스가 만든 트로이의 목마처럼 파일로 가장해 사용자가 파일을 다운로드 한뒤 실행하면 해당 파일이 감염됩니다. 해당 파일을 지우면 따로 백신으로 없에지 않아도 됩니다.(단 감염이 된 파일을 삭제시키면 않되고 다운로드한 파일)
    가끔은 프리메이플스토리 등의 게임에서 트로이의 목마를 로그인용으로 쓰기도 합니다.
    2008.11.06 22:30
  • 프로필사진 광주아이 악성코드를 위장한 트로이목마 라는 것이지요.
    트로이목마에 감염이 되면 님께서 말씀 하신 것 처럼 이 파일을 지워서는 안되겠죠.
    특히 윈도우에서 중요한 역할을 하는 파일이라면 더욱 그렇죠.
    따라서 트로이목마에 감염된 파일은 이미 변조가 되었기 때문에 그 어떤 백신 프로그램으로 고쳐서는 안 됩니다. 백신 프로그램이 감염된 파일을 삭제하기 때문입니다.
    결론적으로 감염된 파일을 고치기 위해서는 감염된 바이너리나 코드를 보고 분석을 하거나 시스템에서 사용할 파일이라면 재설치를 해야합니다.
    저의 짧은 소견이었습니다.
    2008.11.10 03:52 신고
댓글쓰기 폼
Total
199,302
Today
8
Yesterday
5
«   2019/12   »
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31        
글 보관함