본문 바로가기

Etc/낙서장

드디어 잡아낸 변종 웜. bagle worm virus. wintems.exe, hldrrr.exe

드디어 오늘 이놈들을 다 잡았다...
안전모드 블루 스크린 뜨는 것도 해결되고, 백신 안깔리는 것도 다 잡았다...
변종 웜때문에 고생한거 생각하면... --;

이거, 우리나라 백신들 V3, 빛자루, 체이서도 않잡힌다...
알약도 체크는 하지만 결국... 잡아 내지 못하고 리부팅시 또 체크만 열심히 해낸다... --;

그래서, 여기에 해결 방법을 적어 놓기로 한다~~~

[감염시 증상]
프로세스에 wintems.exe 라는게 떠있거나, 숫자로 된 실행파일이 있을 경우.
백식들이 사라짐. 검사 시작에 에러 메세지.
netstat 로 확인시 엄청난 포트를 열어놓고 타 사이트 접근.
안전모드 부팅시 블루스크린(하드웨어 에러)이 나타나고 부팅불가.
감염후 알아서 트로이들과 백도어를 다운받고, 실행시킴.
HLCU/Software/FirstRRRun, DateTime4 등이 생김.
windows/system32/wintems.exe
windows/system32/drivers/hldrrr.exe
windows/system32/drivers/srosa.sys
windows/system32/drivers/hldr.exe
파일들이 생성되어, 임의의 포트를 열고 바이러스,트로이들을 다운한다.
이과정에서 네트워크에 큰 부하가 생겨 느려진다.

[바이러스 박살낼 준비물]
1. safebookeyrepair.exe

2. gmer.exe

3. sdfix.exe

4. msfix

일단 각 파일들을 다운로드 받아 놓는다.
이넘들이 인터넷에서 무작위로 포트를 열고 접속을 하므로, 랜선은 살포~시 빼 놓는다.

(1) 시스템 복원 사용 하지 않음으로 한다.(내컴퓨터> 속성탭에 있다.)

(2) 윈도우 복구 콘솔을 설치한다.
설치방법은 간단하다.
윈도우 시디를 시디롬에 넣은후 커멘드 상태에서 아래의 명령어를 실행한다.
"시디롬드라이브:\i386\winnt32 /cmdcons"
이 명령어를 실행하고 나면, 복구콘솔을 어떻게 할지 묻는데, 그냥 하드에 설치한다고 한다.
그러면, 나중에 부팅시 메뉴가 하나 추가된다.(복구 콘솔~이라고 나온다.)

(3) 안전모드 부팅을 위해서, safebootkeyrepair.exe 를 실행한다.
이 바이러스가 레지스트리를 건들여서, 안전모드부팅시 에러를 일으키는데, 이를 수정한다.

(4) regedit 를 실행해서 HLCU/software/FirstRRRun 과 DateTime4등의 키들을 다 삭제한다.
이넘들이 부팅시 계속 감염시키는 놈들중 하나다...

(5) 장치관리자에서 보기-> 숨김장치표시-> 비플러그앤플레이 드라이버 에서
Megadrv3을 삭제한다. 이넘이 위에서 말한 srosa.sys 와 관련된놈이다. 삭제를 하면,
리부팅을 한다고 한다. 예를 눌러 리부팅을 한다.

(6) 리부팅 과정중 F8을 연타에서 메뉴가 나타나게 해준다.

(7) 메뉴중 이전에 설치한 복구콘솔 로 들어간다.

(8) 복구 콘솔로 들어간 상태에서
windows/system32/wintems.exe
windows/system32/drivers/hldrrr.exe
windows/system32/drivers/hldr.exe
windows/system32/drivers/srosa.sys
windows/system32/drivers/down/*.*
windows/prefetch/*.*

이중
windows/system32/drivers/down/*.*
windows/prefetch/*.*
삭제시 * 커멘드가 적용되지 않는다. 복구콘솔에서 와이드카드가 적용이 않되므로,
복구콘솔에선 폴더의 이름을 바꿔서 적용시킨후, 나중에 안전모드에서 지워도 된다.
즉,
복구콘솔에서
ren c:\windows\system32\drivers\down c:\windows\system32\drivers\down_old
ren c:\windows/prefetch c:\windows/prefetch_old
mkdir c:\windows\system32\drivers\down
mkdir c:\windows/prefetch
이런식으로 일단 우회한다. 이후 안전모드에서 _old 디렉토리를 지워준다.

(9) 복구 콘솔에서 exit 명령을 실행 리부팅한다.

(10) 리부팅시 F8연타. 이번엔 안전모드로 들어간다
이제는 안전모드가 들어가진다 ^^

(11) 받아놓은 gmer.exe를 실행해서,
위에서 삭제한 파일들의 찌꺼기들이 남아 있는지 확인한다.
특히 레지스트리를 꼭 확인할것.
regedit 를 실행에서 검색을 통해서, 위에서 삭제했던 파일들을 찾아서 다시 삭제 한다.
없을수도 있으니, ..

(12) msfix를 실행한다. 이 악성 프로그램 제거 도구는 시간이 엄청 걸린다.
사용자 지정해서 c 드라이브만 했는데도, 50분이 넘게 걸렸다.
만약 전체 디스크를 한경우라면, 만화책 몇권을 볼시간이 걸릴 것이다.
그러나, 절대 빠른 검사를 하면 않된다... 느긋하게 c 드라이브라도 지정하자.
만화책4~5권은 준비할것...

(13) 이후 SDFix.exe 를 실행한다. 이 파일은 압축을 풀어낸다.
압축을 푼 디렉토리로 가서, runthis.bat 파일을 실행한다.
이 과정도 앞의 과정보다는 덜하지만, 만화책 2~3권의 시간을 소비한다...
이 과정이 끝나면 리부팅을 하는데, 리부팅후에도 작업을 계속한다.
작업이 끝나면,
지긋지긋한 바이러스와 안녕할수있다~~~ Goooooooooooood bye~~~~
꼭 백신을 깔아보자...

현재 bitdefender 를 깔았는데, 잘 잡아내고 있다~~~
^^