관리 메뉴

Heizelnut의 IT이야기

Win32.HLLW.Olala 바이러스. 본문

IT_Engineer/Security

Win32.HLLW.Olala 바이러스.

Heizelnut 2007.06.05 20:20
크리에이티브 커먼즈 라이선스
Creative Commons License

윈도우 32비트 운영체제에서 동작하는 바이러스
(여기에는 Microsoft의 Windows 9X,ME,2000,XP)를 포함한다.
고급언어로 작성되어진 웜.
네트워크를 통하여 전파되며 파일을 감염시키는 것이 아닌 스스로를 복제함으로써 전파되는 악성코드. <- 바이러스 체이서에는 이렇게 나와있다.

위에는 좀 말이 이상하게 나왔는데 그냥 바이러스이다. 웜도 아닌거같다.

이 바이러스 모든 실행파일을 감염시키고 폴더를 .exe파일로 새롭게 생성한다.

ex> [폴더] -> [폴더].exe 이런식으로 폴더명과같은 실행파일을 생성한다.
(실행해도반응없다.)

이 바이러스에 감염이 되면

  • C:\WINDOWS\system32\WinSit.exe
  • C:\WINDOWS\inf\Other.exe
  • C:\WINDOWS\system32\config\Win.exe
  • C:\WINDOWS\SVIQ.EXE
  • C:\WINDOWS\system\Fun.exe
  • C:\WINDOWS\dc.exe

 

이파일들이 생성되고 메모리에 실행이 되어있다.

치료법은 안전모드(부팅시 화면에서 F8을 1초간격으로 누름)으로 부팅하여
최신버젼으로 업데이트된 백신을 돌리면 알아서 감염된 파일을 다 잡아내서 위에 파일을 제외
한 감염파일은 치료하고 위에 파일들은 삭제됩니다.(개인적으로 바이러스체이서추천.)

그리고 작업이 완료되면 시작-실행-msconfig 엔터 하여 시작프로그램목록에서
위의 프로세스들을 다 꺼줍니다.

그리고 일반모드로 부팅을하면~ 짜잔~ "Winsit.exe 파일이 없습니다~" 라며 우릴 반겨줍니다
-_-a

이놈을 찾느라 애좀먹었습니다.(국내사이트에는 전혀 없는데 나중에 보니 외국사이트에 많더군요.)

역시 시작-실행-regedit 엔터를 하여

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon
오른쪽에 보시면
Shell 항목의 오른쪽을 보면 "Explorer.exe C:\WINDOWS\system32\Winsit.exe"
라고 되어있습니다. 여기서 밑줄친것을 지우고 재부팅하면 깨끗하게 치료가됩니다.^^

PS : 제 글로인하여 해결을 보신분들은 하단에 있는 Google광고 배너를 한번만
       클릭해주시면 감사하겠습니다.^^;

신고
15 Comments
댓글쓰기 폼