autorun virus ..... by 파란오이


요즘 말 그대로 과제에 찌들어 살고 있습니다.
그 와중에 제 화를 끝까지 돋구는 바이러스가 있었더라니

autorun 계열의 물건인데, Agent 시리즈의 변종이 제대로 괴롭히더군요.
1.

일단 이 악독한 물건이 딱히 크게 피해를 주는 건 아닙니다. 가끔 장치인식 실패시키고, 시스템 에러좀 내주고, 메모리에 올라간 자기 자신을 없애려 하면 블라인드좀 쳐주고, 레지스트리같은 곳에 자기 관련 건드리면 가볍게 블럭해주고, 안전모드에서 블루스크린 띄워주고, 가끔 네트워크도 죽여주고, 마지막으로는 모든 하드와 이동형 디스크에 자기자신 복제해서 고쳐도 고치는게 아닌 상황이 옵니다.

............................................................가장 강점은 확산에 USB 메모리같은 이동형 디스크를 이용한다는 겁니다.


2.

학교에서 뭔가 작업을 주욱 하고 나서 USB 메모리 대용으로 쓰던 mp3p에 저장하고 집에와서 끼우니

..................저도 모르는 새 뭔가 감염되었더군요. 요상한 에러가 뜨길래 컴터가 미쳤나 싶었더니 지금 생각하니 이건 뭐 (...)


그땐 또 몰랐으니 무시하고 그냥 썼더랩니다.



어느 날 작업관리자를 보니 뭔가 요상한 프로세스가 떠있습니다. 없애려 하니


..........작업관리자가 사라진다?

드라이브 루트에 보니 뭔가 있습니다.
지웠더니

................다시 생긴다?


msconfig를 통해 해결해보려 했더니


.....................어 사라지네?


레지스트리 에디터로 접근해서 없애려니


..........................이것도 사라지네?



안전모드에서 해결할 수 있다고 생각했습니다.
안전모드를 부팅하니

..................................................블루스크린이냐?



V3 사용했습니다

........................사라지네?




이쯤 되면 슬슬 짜증이 밀려오기 시작합니다. 하지만 길은 있었습니다.

3.

avast! 를 사용해 고칠 수가 있더군요. 단지 좀 살인적으로 오래 걸린다는 것 뿐입니다.
여하튼 그렇게 고치고 정상화시키는 데는 성공...할 뻔 했지만 다른데가 깨져서 결국 하드 밀었습니다.
그리고 당분간 조용했습니다만



.........과제 덕분에 카메라를 쓸 일이 생겼고,
카메라 메모리를 끼우는 순간


다시 악몽의 시작

........여기 숨어있었냐 (............)



4.

다시 저 과정 반복 (...........................................)

과제 도중에 흐름 끊기고 한시간 쉬게 되었습니다. 밤 열두시에 졸려죽겠는데 말이죠.
결국 그래서 새벽 세시에 잤습니다 (...................................................................)




5.

뭐 고쳤으면 나름 해피엔딩이라고 할 만 하겠는데,

오늘 잘 안보이는 눈으로
(잠을 덜잤더니 반 각성상태에서 눈도 잘 안보이더군요. 정확히는 초점이 안맞아서 그냥 비몽사몽)

교수님이 수업용 usb 메모리를 노트북에 끼는 걸 보는데


.........................내 눈이 이상해서인지는 몰라도
제게 그 악몽을 안겨주던 그 물건이

......아마 잘못 봤을 리도 없을겁니다


순간 눈앞을 지나갑니다.



역시 학교란 무서운 곳입니다. 조심해야겠습니다.

덧글

  • 넥판 2007/11/15 01:14 #

    저는 아버지 직장에서 쓰는 USB 메모리에 묻어와서 Avast랑 같이 피똥좀 쌋지요.

    감염원을 몰라서 다음날에도 또 걸릴뻔했는데 그새DB가 업데이트된건지 차단해주더군요.

    ...하지만 아버지 직장에서는 심하게 당했는지 USB금지가 되더군요 -ㅅ-;;;;

    그나저나 무섭게 진화했네요. 각 드라이브마다 자기복제해놓고 메모리 덤프를 깨작깨작 띄우기만 할 줄 알던놈이

    작업관리자와 레지에딧과 안전모드까지 건드리도록 변하다니 -_-;;;
  • Lunatix 2007/11/15 01:39 #

    우리학교 어떤 사람이 바이러스 전파속도를 보겠다고 USB로 감염되는 바이러스 만들어서 돌렸다가 개피봤었다능[....] 혹시 그 바이러스는 아니겠죠?
  • Extey 2007/11/15 01:43 #

    흠... 이게 사실이라면 좀 슬프군요 (...)

    전 바이러스 걸려본지 어언 10만년...
  • 스네이크 2007/11/15 02:03 #

    저희 학교에도 미칠정도로 저 바이러스가 계속해서 쳐 들어와서 작업좀 할려고 USB 꼽으면 여러 종류의 오토런 바이러스에 감염됩니다.

    해답은 실시간 감사하는 최신 백신 프로그램을 온 시켜놓고 본컴 쓰는것 뿐, 한번 걸리면 답이 없다........
  • 미즈하라 2007/11/15 09:26 #

    그거 제법 무섭네..[]
    요전에 백신차단리스트에서 트로이보고 히껍.........ㅠㅠ...
  • SiN_oRiGin 2007/11/15 13:19 # 삭제

    그냥 밀고 깔고 밀고 깔고(...)
  • wetsea 2007/11/15 18:07 #

    '일단 이 악독한 물건이 딱히 크게 피해를 주는 건 아닙니다.' 라고 하길래 에 뭐야 귀여운거야? 라고 생각하며 줄줄 읽어봤더니 이건;;; 저거의 어디가 경미한 피해임? (운다)
  • KandH 2007/11/15 18:30 # 삭제

    무섭도록 폭주하는 댓글들
  • 핌군 2007/11/15 20:57 #

    아나 진짜 무섭다 후덜덜
    V3 유료결제 질러버려야하나
  • 위키 2007/11/15 22:36 #

    덜덜덜 ;ㅅ;
  • noongom 2007/11/15 22:58 # 삭제

    프로세스 뿐 아니라 서비스까지 돌리는 넘이 있습니다.
    게다가 휴지통에 숨기 때문에 그냥 지워지지 않죠.
    제 경우는 돈 내고 쓰는 V3랑 몰래 쓰는 카스퍼스키 메모리 번들인 아바스트U3용으로 싸우다
    애들이 영 빌빌거려 결국 직접 때려잡아버렸습니다. -,.-;;
    일반적인 경우에 해당하므로.. 그냥 아바스트나 V3 카스퍼스키 쓰시길...
    이젠 업글 되어서 잘 잡을 겁니다. 믿어봐야죠..


    아래는 때려잡은 방법..
    http://cafe.naver.com/ArticleRead.nhn?clubid=14160201&menuid=&searchtype=1&query=때려잡자&searchdate=all&page=1&articleid=4955
  • bz 2007/11/16 11:15 # 삭제

    Avast!는 실행중인 프로세스의 바이러스는 치료 못하는 미묘한 기능상 약점이 있어서...

    Avira 같은 녀석도 잘 막아줍니다.
  • Nunim™ 2007/11/17 03:47 # 삭제

    저는 백신을 nod32 쓰는데 괜찮을까요? ㄷㄷ
  • 파란오이 2007/11/20 23:35 #

    넥판 // 계속 진화중이라는 게 더 무섭습니다. 역시 중국
    Lunatix // 대륙의 힘을 받은 대륙제인듯
    Extey // 좀 슬픈듯
    스네이크 // 진짜 걸리면 답이 없음
    미즈하라 // 좀 걸려보지 아깝네
    SiN_oRiGin // 저건 밀고깔자마자 3초만에 다시 밀어야되는 무서운 녀석이니 그방법이 안통하는듯
    wetsea // 뭐 저정도면 경미하죠 하하하하하
    KandH // 무서운 글이지
    핌군 // v3로 안잡혔다니까 그래
    위키 // ㄷㄷㄷ
    noongom // V3 2007 학교라이센스로 사용중인데, 안잡히더군요 (...)
    bz // avast는 그래도 윈도 로딩 전에 바이러스스캔이 있어 다행인듯
    Nunim™ // 괜찮을듯?
  • DeaDCaT 2007/12/21 01:29 # 삭제

    icesword라는 프로그램을받아서, 거기 내장된프로그램으로 삭제하시면됩니다.
    루트킷계열바이러스의 경우 그런 특성을 보이는데, 아이스소드는 루트킷전문프로그램이라서 전부 체크 가능합니다.


    원리는 윈도내의 함수와 API를 후킹해서 안보이게 하는것인데, 다른방식으로 가로채는것같습니다.
※ 이 포스트는 더 이상 덧글을 남길 수 없습니다.

ad3