- 파일생성
기존 파일에서 상위 폴더에 랜덤파일.(dat, bak, tmp, old) 확장자의 파일을 생성합니다.
- 레지스트리 생성
HKEY_LOCAL_MACHINE
\SOFTWARE
\MICROSOFT
\WINDOWS NT
\CurrentVersion
\DRIVERS32
"MIDI9 = 생성경로 및 파일명은 랜덤, 랜덤한 파라미터
위에 작성한 키값으로 인해 부팅 시 악성코드에 의해 생성된 DLL파일을 로드하여 해당 파일이
정상적으로 로딩되지 않아서 발생하는 문제입니다.
HKEY_LOCAL_MACHINE
\SOFTWARE
\MICROSOFT
\WINDOWS NT
\CurrentVersion
\Windows
AppInit_DLLs="winmm.dll"와 LoadAppInit_DLLs = 0x1
을 생성합니다.
1. 터보백신Ai, 터보백신 Online, 터보백신 2001, , 터보백신IS 제품군으로 치료 및 예방가능합니다.
2. 윈도우 보안 패치를 항상 최신버전으로 업데이트합니다.
아래의 업데이트 목록은 해당 악성코드가 삽입된 웹페이지에서 이용한 취약점 리스트 입니다.
- MS Internet Explorer 7 Video ActiveX Remote Buffer Overflow Exploit (MS09-032)
(http://www.microsoft.com/korea/technet/security/bulletin/MS06-014.mspx)
- Internet Explorer Uninitialized Memory Corruption Vulnerability (MS09-002)
(http://www.microsoft.com/korea/technet/security/bulletin/MS09-002.mspx)
- Internet Explorer (MDAC) Remote Code Execution Exploit (MS06-014)
(http://www.microsoft.com/korea/technet/security/bulletin/MS06-014.mspx)
- Microsoft Office Web Components (Spreadsheet) ActiveX BOF (MS09-043)
(http://www.microsoft.com/korea/technet/security/bulletin/ms09-043.mspx)
< 수동조치방법 >
1. 감염된 시스템의 하드디스크를 다른 정상 시스템의 Slave로 연결한 후 부팅한다.
2. 정상시스템에서 레지스트리 편집기(regedit.exe)를 실행하여 HKEY_LOCAL_MACHINE
키를 선택한다.
.JPG)
3. 파일(F) -> 하이브 로드(L)을 선택하면 하이브 로드할 수 있는 윈도우 창이 뜬다.
.JPG)
4. 감염된 하드의 WINDOWS\system32\config 에서 software 파일을 선택하고 열기를 클릭한다.
.JPG)
5. 키 이름에 임의의 키를 입력합니다.
.JPG)
6. 위의 과정을 마치면 부팅이 안되는 시스템의 레지스트리 정보가 로딩되어 진다.
로딩이 되면 아래 레지스트리 값을 삭제한다.
HKEY_LOCAL_MACHINE\[위에서 지정한 임의의 이름]
\MICROSOFT
\WINDOWS NT
\CurrentVersion
\DRIVERS32\
"MIDI9 = 생성경로 및 파일명은 랜덤"
7. 하이브 로드시 입력한 임의의 키(HKEY_LOCAL_MACHINE\키 이름)를 선택한 후 하이브 언로드
(파일→하이브 언로드)를 한다.
8. 언로드가 완료되면 부팅이 안되었던 컴퓨터에 하드디스크를 연결 하신 후 터보백신 제품을 최신버전으로
업데이트 하신 후 검사 및 치료를 한다.
