'악성코드'에 해당되는 글 1건
2008/04/10 19:07
『USB 바이러스』 바이러스에 감염 및 치료 - fg8m.exe, kxvo.exe, es.exe, autorun.inf
2008/04/10 19:07 in 나만의 생각과 낙서들
요즘 제 주위에 USB로 전염이 되는 바이러스에 당하신 분들이 여럿 계십니다. 각각 다른 바이러스에 감염이 되어서 정신 못차리고 있을 정도입니다.
이 경우 저도 상당히 조심하는 편이고 주의를 기울였음에도 불구하고 이번에는 저도 당했네요.
제가 감염된 USB 바이러스 파일명인 fg8m.exe 으로 검색이 안되는 것으로 보아 파일명이 매번 바뀌는 형태가 아닐까 싶습니다. Google에서만 3건이 검색 되는데 제대로 된 치료법은 없는 것 같습니다.
http://www.google.co.kr/search?complete=1&hl=ko&newwindow=1&q=fg8m.exe&lr=&aq=f
USB 메모리를 조사해 보니 아래와 같은 파일이 있었습니다.
- auturun.inf
- fg8m.exe
- es.exe
USB 메모리에서 auturun.inf 파일이라니 참 난감하네요.
제 PC의 경우 자동실행을 모두 꺼놨기 때문에 대체로 피해갈 수 있었습니다만 이번에는 클릭을 잘못하는 바람에 실행해 버렸습니다.
auturun.inf 파일은 이상한 문자들이 있지만 간단히 말해 fg8m.exe와 es.exe를 실행하는 것이 주 목적입니다만 큰 문제를 야기하는 것은 fg8m.exe 였습니다.
fg8m.exe 이게 본체 같은데요. 시스템을 파괴하지는 않습니다만 자기보다 더 큰 문제아를 pc에 데려오더군요. 그것은 바로 kxvo.exe라는 놈이었습니다.
kxvo.exe가 뭐하는 놈이냐면 PC에서 사용되는 유저명과 비밀번호를 가로채서 자기를 만든 놈에게 전송해 주는 것이었습니다. 게임과 메일과 같은 유저명과 비밀번호를 입력하는 곳의 정보를 전송해 주기 때문에 상당히 치명적이라고 볼 수 있습니다.
kxvo.exe를 지워도 fg8m.exe가 알아서 재설치 해주기 때문에 상당히 골치 아프더군요. 거기다가 백신에서 잘 잡아주지도 않습니다.
그래서 제가 고생하면서 잡은 내용을 적어봅니다. 참고로 본인은 286과 케텔 시절인 87년부터 PC를 만져오다 못해 업으로 삼고 있습니다.
fg8m.exe와 kxvo.exe에 감염 되었을 경우 처리 방법은 다음과 같습니다.
1) [시작] -> [실행] -> cmd 입력 후 [엔터] (커멘드 Mode임)
2) 루트로 이동
- cd \
3) 숨겨진 악성코드를 확인
- dir /ashr
4) 다음과 같은 파일이 존재하는지 확인
- c:\fg8m.exe
- c:\autorun.inf
5) 메모장으로 0 Byte의 dummy.txt를 c: 루트에 생성함
6) 커멘드 Mode에서 fg8m.exe, auturun.inf 파일의 속성을 변경
- attrib -R -H -S fg8m.exe
- attrib -R -H -S auturun.inf
7) 커멘드 Mode에서 dummy.txt를 해당 파일 2개에 덮어씌움
- copy dummy.txt fg8m.exe
- copy dummy.txt auturun.inf
8) fg8m.exe 관련 바이러스에 의해 변경되지 않도록 읽기전용으로 변경
- attrib +R fg8m.exe
- attrib +R auturun.inf
9) 커멘드 Mode에서 윈도우의 SYSTEM32 폴더로 이동
- cd c:\windows\system32\
10) 커멘드 Mode에서 kxvo.exe 관련 파일 확인
- dir /ashr
11) 커멘드 Mode에서 kxvo.exe 관련 파일 속성 변경
- attrib -R -H -S kxvo.exe
- attrib -R -H -S fool0.dll
- attrib -R -H -S fool1.dll
- attrib -R -H -S ies0.dll
12) 커멘드 Mode에서 kxvo.exe 관련 파일을 dummy.txt로 덮어씌움
- copy c:\dummy.txt kxvo.exe
- copy c:\dummy.txt fool0.dll
- copy c:\dummy.txt fool1.dll
- copy c:\dummy.txt ies0.dll
13) 커멘드 Mode에서 kxvo.exe 관련 파일이 변경되지 않게 속성변경
- attrib +R kxvo.exe
- attrib +R fool0.dll
- attrib +R fool1.dll
- attrib +R ies0.dll
14) pc를 리부팅함 (필요하다면 강제리붓)
15) [시작] -> [실행] -> msconfig 입력 후 엔터
16) 시작 프로그램에 kxvo.exe 삭제
17) [시작] -> [실행] -> cmd 입력 후 엔터 (커멘드 Mode임)
18) fg8m.exe 관련 악성코드 파일 속성 변경
- attrib -R fg8m.exe
- attrib -R auturun.inf
19) fg8m.exe 관련 악성코드 파일 삭제
- del fg8m.exe
- del auturun.inf
20) 커멘드 Mode에서 윈도우의 SYSTEM32 폴더로 이동
- cd c:\windows\system32\
21) kxvo.exe 관련 파일 속성 변경
- attrib -R kxvo.exe
- attrib -R fool0.dll
- attrib -R fool1.dll
- attrib -R ies0.dll
22) kxvo.exe 관련 파일 삭제
- del kxvo.exe
- del fool0.dll
- del fool1.dll
- del ies0.dll
23) 아래의 레지스트리 다운로드 후 등록
23)번의 경우 윈도우에서 숨김파일이 안보이거나 숨김파일 보이기 설정이 먹통이 되었을때 레지스트리에 등록해 주면 됩니다.
단계가 복잡해서 배치파일(BAT)로 3단계로 만들어 보았습니다. 압축을 해제하면 아래와 같은 파일이 나오는데 다음과 같이 더블클릭으로 실행하시면 됩니다.
1) 1.remove_step1.bat 실행
2) PC 리부팅
3) 2.remove_step2.bat 실행
4) 3.remove_step3.reg 실행
참고로 이 바이러스의 파일 리스트는 아래와 같습니다.
1) fg8m.exe 파일 리스트
- c:\fg8m.exe
- c:\auturun.inf
2) kxvo.exe 파일 리스트
- c:\windows\system32\kxvo.exe
- c:\windows\system32\fool0.dll
- c:\windows\system32\fool1.dll
- c:\windows\system32\ies0.dll
참고로 파일 삭제 후 이동식 USB 메모리가 있을 경우 감염이 되었을 수 있으므로 자동실행을 끄고 탐색기에서 확인 하길 바랍니다. 안그러면 또 감염됩니다.
P.S #1
어떤 분의 블로그에서 루트에 있는 NTDETECT.COM 파일도 삭제하라고 되어 있는데
절대 삭제 하시면 안됩니다. 이건 윈도우 시스템 파일이라 삭제 하시면 부팅이 안될 수
있습니다.
P.S #2
본 바이러스와 관련된 다른 분의 블로그에서 더 좋은 내용이 있어서 링크를 겁니다.
글을 읽어보니 저의 경우 fg8m.exe 였는데 이 파일명이 늘 같은게 아니라 바뀌는 것 같네요.
○ 관련 블로그 URL : http://blog.daum.net/virusmyths/4750353
이 경우 저도 상당히 조심하는 편이고 주의를 기울였음에도 불구하고 이번에는 저도 당했네요.
제가 감염된 USB 바이러스 파일명인 fg8m.exe 으로 검색이 안되는 것으로 보아 파일명이 매번 바뀌는 형태가 아닐까 싶습니다. Google에서만 3건이 검색 되는데 제대로 된 치료법은 없는 것 같습니다.
http://www.google.co.kr/search?complete=1&hl=ko&newwindow=1&q=fg8m.exe&lr=&aq=f
USB 메모리를 조사해 보니 아래와 같은 파일이 있었습니다.
- auturun.inf
- fg8m.exe
- es.exe
USB 메모리에서 auturun.inf 파일이라니 참 난감하네요.
제 PC의 경우 자동실행을 모두 꺼놨기 때문에 대체로 피해갈 수 있었습니다만 이번에는 클릭을 잘못하는 바람에 실행해 버렸습니다.
auturun.inf 파일은 이상한 문자들이 있지만 간단히 말해 fg8m.exe와 es.exe를 실행하는 것이 주 목적입니다만 큰 문제를 야기하는 것은 fg8m.exe 였습니다.
fg8m.exe 이게 본체 같은데요. 시스템을 파괴하지는 않습니다만 자기보다 더 큰 문제아를 pc에 데려오더군요. 그것은 바로 kxvo.exe라는 놈이었습니다.
kxvo.exe가 뭐하는 놈이냐면 PC에서 사용되는 유저명과 비밀번호를 가로채서 자기를 만든 놈에게 전송해 주는 것이었습니다. 게임과 메일과 같은 유저명과 비밀번호를 입력하는 곳의 정보를 전송해 주기 때문에 상당히 치명적이라고 볼 수 있습니다.
kxvo.exe를 지워도 fg8m.exe가 알아서 재설치 해주기 때문에 상당히 골치 아프더군요. 거기다가 백신에서 잘 잡아주지도 않습니다.
그래서 제가 고생하면서 잡은 내용을 적어봅니다. 참고로 본인은 286과 케텔 시절인 87년부터 PC를 만져오다 못해 업으로 삼고 있습니다.
fg8m.exe와 kxvo.exe에 감염 되었을 경우 처리 방법은 다음과 같습니다.
1) [시작] -> [실행] -> cmd 입력 후 [엔터] (커멘드 Mode임)
2) 루트로 이동
- cd \
3) 숨겨진 악성코드를 확인
- dir /ashr
4) 다음과 같은 파일이 존재하는지 확인
- c:\fg8m.exe
- c:\autorun.inf
5) 메모장으로 0 Byte의 dummy.txt를 c: 루트에 생성함
6) 커멘드 Mode에서 fg8m.exe, auturun.inf 파일의 속성을 변경
- attrib -R -H -S fg8m.exe
- attrib -R -H -S auturun.inf
7) 커멘드 Mode에서 dummy.txt를 해당 파일 2개에 덮어씌움
- copy dummy.txt fg8m.exe
- copy dummy.txt auturun.inf
8) fg8m.exe 관련 바이러스에 의해 변경되지 않도록 읽기전용으로 변경
- attrib +R fg8m.exe
- attrib +R auturun.inf
9) 커멘드 Mode에서 윈도우의 SYSTEM32 폴더로 이동
- cd c:\windows\system32\
10) 커멘드 Mode에서 kxvo.exe 관련 파일 확인
- dir /ashr
11) 커멘드 Mode에서 kxvo.exe 관련 파일 속성 변경
- attrib -R -H -S kxvo.exe
- attrib -R -H -S fool0.dll
- attrib -R -H -S fool1.dll
- attrib -R -H -S ies0.dll
12) 커멘드 Mode에서 kxvo.exe 관련 파일을 dummy.txt로 덮어씌움
- copy c:\dummy.txt kxvo.exe
- copy c:\dummy.txt fool0.dll
- copy c:\dummy.txt fool1.dll
- copy c:\dummy.txt ies0.dll
13) 커멘드 Mode에서 kxvo.exe 관련 파일이 변경되지 않게 속성변경
- attrib +R kxvo.exe
- attrib +R fool0.dll
- attrib +R fool1.dll
- attrib +R ies0.dll
14) pc를 리부팅함 (필요하다면 강제리붓)
15) [시작] -> [실행] -> msconfig 입력 후 엔터
16) 시작 프로그램에 kxvo.exe 삭제
17) [시작] -> [실행] -> cmd 입력 후 엔터 (커멘드 Mode임)
18) fg8m.exe 관련 악성코드 파일 속성 변경
- attrib -R fg8m.exe
- attrib -R auturun.inf
19) fg8m.exe 관련 악성코드 파일 삭제
- del fg8m.exe
- del auturun.inf
20) 커멘드 Mode에서 윈도우의 SYSTEM32 폴더로 이동
- cd c:\windows\system32\
21) kxvo.exe 관련 파일 속성 변경
- attrib -R kxvo.exe
- attrib -R fool0.dll
- attrib -R fool1.dll
- attrib -R ies0.dll
22) kxvo.exe 관련 파일 삭제
- del kxvo.exe
- del fool0.dll
- del fool1.dll
- del ies0.dll
23) 아래의 레지스트리 다운로드 후 등록
숨김파일안보이기 잠금해제.reg23)번의 경우 윈도우에서 숨김파일이 안보이거나 숨김파일 보이기 설정이 먹통이 되었을때 레지스트리에 등록해 주면 됩니다.
단계가 복잡해서 배치파일(BAT)로 3단계로 만들어 보았습니다. 압축을 해제하면 아래와 같은 파일이 나오는데 다음과 같이 더블클릭으로 실행하시면 됩니다.
1) 1.remove_step1.bat 실행
2) PC 리부팅
3) 2.remove_step2.bat 실행
4) 3.remove_step3.reg 실행
remove.fg8m.kxvo.zip참고로 이 바이러스의 파일 리스트는 아래와 같습니다.
1) fg8m.exe 파일 리스트
- c:\fg8m.exe
- c:\auturun.inf
2) kxvo.exe 파일 리스트
- c:\windows\system32\kxvo.exe
- c:\windows\system32\fool0.dll
- c:\windows\system32\fool1.dll
- c:\windows\system32\ies0.dll
참고로 파일 삭제 후 이동식 USB 메모리가 있을 경우 감염이 되었을 수 있으므로 자동실행을 끄고 탐색기에서 확인 하길 바랍니다. 안그러면 또 감염됩니다.
P.S #1
어떤 분의 블로그에서 루트에 있는 NTDETECT.COM 파일도 삭제하라고 되어 있는데
절대 삭제 하시면 안됩니다. 이건 윈도우 시스템 파일이라 삭제 하시면 부팅이 안될 수
있습니다.
P.S #2
본 바이러스와 관련된 다른 분의 블로그에서 더 좋은 내용이 있어서 링크를 겁니다.
글을 읽어보니 저의 경우 fg8m.exe 였는데 이 파일명이 늘 같은게 아니라 바뀌는 것 같네요.
○ 관련 블로그 URL : http://blog.daum.net/virusmyths/4750353
Prev
Rss Feed