[Win32/Virut 바이러스] 당신의 컴퓨터도 Virut에 안전하지않다. (치료법)

Posted by 묘아 Myoa™
2008. 12. 25. 14:06 강의
본 블로그는 클리어타입에 최적화 되있습니다. 글씨가 흐리게 보이면 여기를 눌러 패치하세요(1차수정)



Win32/Virut

[자료참고] AhnLab, Symantec

1. 요약 : [백도어] 기능을 가진 윈도우 기반의 후위 기생형 파일 바이러스

 - 코드명 : Win32/IRCBot.worm.74240.L (명명 : AhnLab, 2006-06-28, GMT+9)

 - 다른 이름 : Virus.Win32.Virut.a, Win32.Virtob.C, Win32.Virut, W32/Virut.a,

               PE_VIRUT.A, W32.Virut.a

 - 크기 : 4,960 바이트

 - 백도어 포트 : TCP 65520

 - Infection marker : VT_3 event

2. 감염 경로 : 자체 전파 기능은 없으며, 감염된 파일을 실행할 경우 다른 파일도 감염

3. 생성 파일

4. 주요 증상

 - 로컬 하드드라이브의 *.exe, *.scr 확장자를 가진 실행 파일을 감염 시킨다. 단,

   WINC, WCUN, WC32, PSTO 문자가 포함된 폴더는 감염에서 제외된다.

 - winlogon.exe 프로세스에 자신을 삽입하여 실행하면서 특정 IRC 서버로 접속을 시도한 후

   또 다른 악성코드를 내려 받는다.

   예) Win-Trojan/Virut.45056, Win-Trojan/IRCBot.38912, Win-Trojan/Downloader.20480.AN

 - 변종인 Win32/Virut.B 도 Win32/Virut와 동일하며, 단지 감염된 영역의 일부에 NOP 코드를

   삽입하여 코드가 전체적으로 뒤로 밀려지게 하였다.

5. 레지스트리 추가/변경 

6. 진단/치료 (Right Click? You are Traced!)

 - Win32/Virut 는 감염을 위해서 특정 커널 함수를 후킹해두고 있어 완벽한 치료를

   위해서는 메모리 치료가 선행 되지 않을 경우 재감염될 수 있다. 또한 Win32/Virut 에 의해

   다운로된 트로이목마 2개와 IRC 봇을 치료하기 위해 자신이 사용중인 안티 바이러스 제품의

   엔진을 최신으로 업데이트 한 후 진단/치료가 필요하다.

 - Win32/Virut 전용 치료 백신  : [다운로드]

 - 무료 온라인/오프라인 악성코드 검사/치료 도구 모음 : [바로가기]

 - 무료 온라인 검사 도구 모음 (국내 6개 제품) : [바로가기]

[출처] Win32/Virut 바이러스 전용 치료 백신 및 정보

간단하게 대충 설명하자면 Win32/Virut 은 응용프로그램(.exe)에 붙어사는
무시무시한놈이죠. 알약,Mcafree 등 기타백신프로그램에서 치료를한다해도
잔재가 남아있긴하겠죠. 딱 한개의 잔재가 남아있다해도 이바이러스는
순식간에 몇천개에 파일을 재감염시킵니다...

대표적으로 Fraps.exe  Suddenattack.exe 파일에 감염되면
실행이 불가능해집니다.

아무튼 어떻게치료해야될까?.. 

이게 대략 백신파일이란것은 아실것입니다.^-^,,
하지만 이백신은 "안철수연구소"에서 특별히만든
Win32/Virut  만 잡는 백신입니다. 그냥 검사시작해서 그냥잡는게아닙니다..

이글을 다보신후에 검사를시작하시는게좋으며, 중간에 건너뛰어 읽지마시길바랍니다.

일단 인터넷익스플로러를 다종료하구요. 바탕화면만 뜨도록 종료합니다.(그래서 다읽고하셔야..)

그리고 인터넷연결선을 뺍니다.(네트워크 감염예방차원..)

그런다음 검사를 시작하는데요, 특정부분만 검사를하시면안되고 전체를
다 검사해야합니다. C:\전체를요.

검사를 완료하신후에, 모두 치료를하셨다면 다시한번 재검사를합니다.
(잔재가 남아있을경우, 몇초만에 또다시 재감염을 시켜버립니다.)

이번에 검사시에 Win32/Virut 바이러스에 감염된 파일이 나오지않았을경우
일단은 다잡힌것으로, 인터넷선을 연결하셔도좋습니다.(재부팅하면 :))

일단이란말은 흠.. 이건 네트워크 경로를 통해 쉽게 감염되므로 언제또
Win32/Virut에 감염될지모릅니다.... 그래서 주기적인 검사/치료가 필요한것이죠.

모두가 알고있겠지만 출처가 불분명한 파일이나, 의심스러운파일, 디지털서명이없는
파일들은 사용을 자제하시는게 좋습니다^^


비밀 댓글로(Secret Option)