::::: 세종직업전문학교에 오신걸 환영합니다. :::::
로고
 Home> 커뮤니티 >자료실   
 
윈도우 정상 부팅을 방해하는 악성코드 주의
 글쓴이 : 관리자 (112.♡.97.254)  [09-10-31 10:06]
조회 : 3,032  
   윈도우 정상 부팅을 방해하는 악성코드 주의.hwp (15.0K) [2] DATE : 2009-10-31 10:06:51
윈도우 정상 부팅을 방해하는 V.TRJ.Agent.15872.A와 V.TRJ.Agent.18432.B가 15일 오전부터 확산되고 있는 상황이므로 사용자들의 주의가 필요합니다. 현재 해당 악성코드에 감염된 PC의 경우 정상적인 윈도우 부팅이 이뤄지지 않은 채 검은 바탕 화면과 마우스커서만 나타난채 부팅이 멈춰버리는 현상이 발생하게 되며, 안전모드로도 부팅을 시도해도 부팅이 완료되지 않습니다. 알약에서는 현재 해당 악성코드를 진단하고 제거하고 있으므로 항상 DB를 최신버전으로 유지 해주시고, 실시간 감시 기능을 활성화 시켜두셔야 합니다.

[감염 증상]

1) 기존 파일에서 상위 폴더에 랜덤파일.(dat, bak, tmp, old) 확장자의 파일을 생성합니다.
2) HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CurrentVersion\DRIVERS32 "MIDI9 = 랜덤 값"에 DLL 파일을 로드하도록 레지스트리를 추가합니다.
3) HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CurrentVersion\Windows에 AppInit_DLLs="winmm.dll"와 LoadAppInit_DLLs = 0x1을 생성합니다.
4) 이미 감염된 PC에서는 윈도우 부팅시 검은 화면에 마우스 커서만 나타나고 이후의 부팅 과정이 완료되지 않습니다.

[제거 방법]

현재 알약에서는 해당 악성코드를 V.TRJ.Agent.15872.A와 V.TRJ.Agent.18432.B로 진단하고 있으며, 제거가 가능합니다. 알약을 설치하여 최신DB로 업데이트한 후 수동으로 검사를 실시합니다.
온라인에서 알약 업데이트가 불가능하신 분들은 수동DB업데이트 파일을 다운로드하여 최신DB로 업데이트하시기 바랍니다.

[복구 방법]

1) 감염된 PC의 하드디스크를 정상적인 PC에 Slave로 장착합니다.
2) 레지스트리 편집기에서 "하이브 로드(L)"를 선택해 Windows\System32\config\software 폴더에 들어갑니다.
3) HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CurrentVersion\DRIVERS32에서 "MIDI9 = 랜덤값"을 삭제한 후 재부팅합니다.

[예방 방법]

1) 알약 DB업데이트 상황을 항상 최신으로 유지해야 합니다. 2) 알약의 실시간감시를 항상 활성화시켜 악성코드가 PC로 진입하지 못하도록 차단합니다.

 
   

로고