ㅇ Win32.HLLW.Ronda가 실행되면 다음과 같은 파일을 생성한다.
- %system%SVKP.sys (이 파일은 압축된 자신을 해제하는 파일로 이용된다.)
-자 이건 일단 알아두고 증상과 컴퓨터의 상태를 서로 확인해보며 이 바이러스가 맞는지 확인하시기 바랍니다.
치료를 위해 이것도 알아둡시다
* 기본적인 윈도우 시스템 폴더(%system%)
- Windows 9X/ME : C:\Windows\SYSTEM\
- Windows NT/2000 : C:\Winnt\System32\
- Windows XP : C:\Windows\System32\
ㅇ 웜은 자신을 전파하기 위하여 사용자의 시스템에 P2P공유 프로그램이 설치 되어 있는지 확인하고 없는 경우 공유 폴더를 생성하여 자기 자신을 복사 해둔다.
- C:\download\VistarCrack.exe.scr
- C:\download\muse - uno.mp3.scr
- C:\Program Files\Pruna\Incoming\muse - uno.mp3.scr
- C:\Program Files\Pruna\Incoming\Daniel Powter - Free loop.scr
- C:\Program Files\Pruna\Incoming\Vistar.scr
- C:\Program Files\Pruna\Incoming\MP3.scr
- C:\Program Files\Pruna\Incoming\GameCarck.scr
- C:\Program Files\Pruna\Incoming\excel.scr
- C:\Program Files\Pruna\Incoming\microsoft.scr
- C:\Program Files\Pruna\Incoming\Carck.scr
- C:\Program Files\Pruna\Incoming\크랙.scr
- C:\Program Files\Pruna\Incoming\Virut백신.scr
- C:\Program Files\Pruna\Incoming\크랙파일.scr
- C:\Program Files\Pruna\Incoming\최신음악.scr
- C:\Program Files\Pruna\Incoming\비스타Crack.scr
- C:\Program Files\Pruna\Incoming\비스타크랙.scr
비스타크랙은 거의 exe입니다. scr로 전파되는 바이러스인가 봅니다.
- C:\net1.exe.scr
- C:\net_jian1070.exe.scr
- C:\net.exe.scr
- C:\jian1070.exe.scr
- C:\jian1070.wmf.scr
- C:\programm files\buddy\down\slipout.scr
- C:\programm files\buddy\down\muse - uno.mp3.scr
- C:\programm files\buddy\down\photo.scr
- C:\asdwemm.eml(아웃룩 파일)
ㅇ사용자가 시스템을 정상적으로 사용하지 못하도록 아래와 같은 파일을 변조하거나 삭제한다.
- C:\BOOT.INI - 변조된 파일(시스템 부트 정보 파일)
- %system%\hal.dll - 삭제된 파일(하드웨어 정보 파일)
자 이러면 어떻게 할까요? XP 시디를 하나 구워봅시다. PC방이라면 빨리 공시디 하나 사오고 XP를 받아 굽는것입니다. (XP는 제가 보내드리겠습니다 덧글만 다세요)
여기에선 치료방법을 다루기 때문에 XP를 굽는것까지 말씀드리기가 힘들겠네요..
1. P2P 공유폴더를 확인하여 다음을 삭제
2. Hal.dll 파일 복구
1)바이러스에 감염이 되면 윈도우 정상파일인 hal.dll(Hardware Abstraction Layer)파일삭제로 부팅시 다음과 유사한 오류 메세지가 나타날수 있다.
- 다음 파일이 없거나 손상되어 Windows를 시작할 수 없다.
%system32%\hal.dll
위 파일의 복사본을 다시 설치한다.
* hal.dll을 복구하는 방법
winxp cd로 부팅해서 R옵션, administrator암호 넣고 프롬프트로 빠진 상태에서 아래 명령을 입력한다.
c:\windows>expand d:\i386\hal.dl_ c:\windows\system32\hal.dll
3. Boot.ini 파일 복구
1. boot.ini파일을 변경 하기 때문에 정상적으로 변경한다.
정상 boot.ini
[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition(운영체제 마다 다르게 나옴)" /fastdetect
boot.ini파일 변경하는 방법
1) boot.ini파일을 notepad을 이용하여 위와 같이 수정한 후 저장
2) Msconfig를 이용하는 방법
시작 – 실행 – Msconfig
BOOT.INI탭안에 SAFEBOOT를 체크해제후 재부팅
Win32.HLLW.Ronda(1)
바이러스체이서 홈페이지에 올랐네요.. 변종인듯..
ㅇ 전파를 위하여 P2P공유 프로그램의 공유 폴더에 자신을 위장하여 복사한다.
ㅇ 사용자를 속이기 위해 메세지 박스를 띄운다.
ㅇ 윈도우의 특정 프로그램을 삭제한다.
ㅇ 레지스트리 에디터를 실행하지 못하도록 레지스트리를 변경한다.
ㅇ 특정 확장자를 가진 파일이 실행되면 자신이 실행되도록 레지스트리를 변경한다.
라고 합니다.
공유 폴더에 복사라...
이 변종은 메시지박스를 띄우는군요.. 보통 Hal.dll을 파괴하는 것으로 알고 있었으나..
그리고 특정 프로그램 삭제까지;;
백신같은 위협하는 프로그램을 지우나보죠..
레지스트리 수정도 못하고..
이거 치료하기 힘들긴 하죠..
치료하시려면 밑의 글을 따라서 하시면..
1. 윈도우 탐색기를 이용하여 아래의 폴더에 있는 바이러스를 삭제한다.
- %systemroot%\csrss.exe
%systemRoot%는 OS마다 다르니까 밑에 있는걸 꼭 읽으시고..
- Windows 9X/ME : C:\Windows\
- Windows NT/2000 : C:\Winnt\
- Windows XP : C:\Windows\
참고 : 위의 csrss.exe 파일만 삭제한 상태에서 EXE.SCR.MP3.REG 파일을 실행하게 되면 Regedit를 찾을 수 없다고 하죠...
밑에 있는 파일들이 론다때문에 지워지셨으면 복구하시면 됩니다. 다른 XP에서 파일을 빼내오면 되는거죠
-%system%\Restore\rstrui.exe
-%systemroot%\ServicePackFiles\i386\rstrui.exe
-%system%\dllcache\rstrui.exe
그리고 아래를 참고해 론다에 의해 변경된 레지스트리를 복구/삭제합니다.
수정하기 위해서는 다음 파일을 다운한 뒤 확장자를 .com(뒷부분 exe를 지우고 com으로 바꿔줍니다)으로 바꾸어 실행합니다.
- 바이러스체이서 홈페이지의 자료실에 있는 FixReg2.exe 파일을 다운로드 하여 확장자를 .com 으로 변경한 뒤 실행하여 아래의 그림과 같이 체크하고 실행한다.
ㅁ 레지스트리편집기 제한 헤제
실행되면 아래의 레지스트리를 삭제하게 됩니다
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools" = 1
또 하나의 문제는 EXE, SCR, REG 등을 실행하면 자신이 실행되도록 했기 때문에 레지스트리 에디터도 확장자를 regedit.com으로 바꾸고 실행해야 합니다
그럼 regedit.com을 실행해 이런 레지스트리들 이렇게 변경해주세요
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
[HKEY_CLASSES_ROOT\mp3file\shell\open\command]
[HKEY_CLASSES_ROOT\regfile\shell\open\command]
[HKEY_LOCAL_MACHINE\exefile\shell\open\command]
[HKEY_LOCAL_MACHINE\mp3file\shell\open\command]
[HKEY_LOCAL_MACHINE\regfile\shell\open\command]
"Default" = "C:\Winnt\csrss.exe" %1 %*
[HKEY_CLASSES_ROOT\scrfile\shell\open]
[HKEY_LOCAL_MACHINE\scrfile\shell\open]
"command" = "C:\Winnt\csrss.exe" %1 %*
을 아래와 같이 Default 와 command 를 변경
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
[HKEY_CLASSES_ROOT\mp3file\shell\open\command]
[HKEY_CLASSES_ROOT\regfile\shell\open\command]
[HKEY_LOCAL_MACHINE\exefile\shell\open\command]
[HKEY_LOCAL_MACHINE\mp3file\shell\open\command]
[HKEY_LOCAL_MACHINE\regfile\shell\open\command]
"Default" = "%1" %*
[HKEY_CLASSES_ROOT\scrfile\shell\open]
[HKEY_LOCAL_MACHINE\scrfile\shell\open]
"command" = " %1" %*
절대 삭제가 아니니 주의해서 변경해주세요
