개소리 왈왈2009.04.10 21:43
지금 검색해보니 동일인지는 모르겠지만 두 녀석이 있었다.

Win32/Taterf.worm.99840 - 2009년 4월 7일 발견
FLNM.CMDCloaked Malware - 2009년 3월 28일 발견

신형 웜이고, 증상은
각 드라이브에 내 컴퓨터 - c: 드라이브 이런걸 접근하려고 하면
알수 없는 파일이라고 나오면서 사용할 프로그램을 고르라고 나온다.

그리고 간혹 마우스가 끊어지며,
'키보드 값을 가로채서 전송' 한다고 한다. 젠장 ㄱ-

두녀석 모두 윈도우를 잘 괴롭히는 듯 하고,
dos에서 dir/ah 명령으로 보면

c:\에
autorun.inf
flnm.cmd
파일이 발견된다.

attrib로 보면
SHR c:\autorun.inf
SHR c:\flnm.cmd 로 각종속성으로 보호된 녀석이다.

윈도우에서 시스템 파일 자동 숨김으로 강제 설정하고, 변경해도 바로 숨김으로 설정해서
절대 파일을 볼 수 없게 만드는 치밀한 녀석이다.

그리고 레지스트리에
autorun.inf 파일 내용에 있는
pmut.bat로 검색하면 여러곳에서 검출이 되는데, 생각보다 잡기가 어려울 듯 보인다.




[링크 : http://kr.ahnlab.com/info/smart2u/virus_detail_27134.html]
[링크 : http://www.prevx.com/filenames/247913486337776168-X1/FLNM.CMD.html]


결론 : 포맷해야 하나 ㄱ-

'개소리 왈왈' 카테고리의 다른 글

일요일에 한 짓들  (8) 2009.04.13
내 블로그 방명록은 오스트레일리아다!  (4) 2009.04.11
젠장 바이러스!!  (4) 2009.04.10
Cumulus for TiStory 설치!  (0) 2009.04.10
RFonlie으로 돌아오라고?  (0) 2009.04.09
알텍랜싱 120i 두개 사용기  (4) 2009.04.09
Posted by 구차니

댓글을 달아 주세요

  1. 헐... 백신에서 안고쳐지는 녀석인가요?
    고치는 것과는 거리가 있지만, 실행코드가 해당 파일이라면 그냥 읽기/실행 권한을 없애버리는 것도 임시방편은 되지않을까 싶네요.

    2009.04.11 10:28 [ ADDR : EDIT/ DEL : REPLY ]
    • 전 네이버 무료백신(카스퍼스키) 쓰고 있는데 이거는 업데이트 안되었고 다음 무료백신(V3)는 업데이트 되어 있더라구요. 순간 V3를 결제 할까 충동이 ㅋㅋ

      2009.04.11 11:50 [ ADDR : EDIT/ DEL ]
    • 업데이트가 되어 있다면 치료되 된다는 의미가 아닌가요?

      2009.04.11 12:08 [ ADDR : EDIT/ DEL ]
    • 네이버 카스퍼스키는 아직 못 잡고 다음 V3는 잡더라구요 ^^

      업데이트 되었다고 해서 그 바이러스에 대한 치료방법이 포함된건 아니었나봐요 ㅠ.ㅠ
      (바이러스 목록을 확인안해봐서요 ^^;)

      2009.04.11 14:15 [ ADDR : EDIT/ DEL ]