관리 메뉴

Heizelnut의 IT이야기

Win32.Vbs.Agent.E 본문

IT_Engineer/Security

Win32.Vbs.Agent.E

Heizelnut 2008.10.28 22:54
음 오랜만에 제 블로그 컨셉에 맞는 제대로된(?) 포스트가 올라오네요.
요즘 제 주위에서 이놈으로 인한 피해가 심한지라 한번 외국 사이트 뒤져가면서 찾아 포스팅해봅니다.
(실제로 저희반 아이 외장하드(250G)에 전부 감염되가지고 그 PC에 감염되서 과도한 트래픽 발생으로 인해 학교 전체 네트워크가 마비된적이 있었음...
관리부 과장님 왈 "이 반만 연결하면 전체 인터넷이 마비가 되요....")

이런고로 많이들 쓰이는 알약으로도 못잡는 바. 아바스트(Avast)로도 100%는 못잡는듯하는 바. 본인이 옛날에 Virut 요놈과 한달동안 전쟁해서 결국 포맷해버린 기억이 떠오르게 만드는 요놈을 100% 치료해보기 위해서 이 포스팅을 해봅니다.(다행이 Virut처럼 .exe파일의 PE부분을 아예 바꿔버리는 놈은 아니니...100%의 가능성을 봄.)

일단 요놈이 어떤 놈인지 소개하겠습니다.

 
이름 : Win32.Vbs.Agent.E(백신마다 이름이 다를 수 있으나 Vbs라는 이름은 공통적으로 들어가는 듯 함.)

종류 : Worm.Generic

위험도 : High(상급)
*PS : 전파 속도로 보면 위험도는 낮지만 바퀴벌레 처럼 엄청난 속도로 감염시키고 다른 악성코드를 내려받는 등의 행위로 국내에서는 "High"등급으로 표시하는 경우가 많은것 같다.

특징 : 네트워크 공유나 이동식 디스크를 통하여 전파
         (전파 속도는 느림, Why? 이동식디스크를 통한 감염이기 때문에)

         모든 드라이브에 autorun.inf 와 {UserName}.vbs 로 존재함.
         %Systemroot%\System32\{UserName}.ini ,                                                                                           %Systemroot\System32\{UserName}.vbs 로 존재함.

치료 방법 : ras.exe, 360tray.exe, taskmgr.exe, cmd.exe, cmd.com, regedit.exe, regedit.src, regedit.pif, regedit.com, msconfig.exe, SREng.exe, USBAntiVir.exe
라는 이름으로 실행중인 프로세스들이 있다면 작업관리자에서 강제 종료하고 치료를 해야한다.

비트디펜더(Bitdefender)에서 제공하는 전용백신을 이용하여 치료하면 된다.
(사실 안전모드에서 하는 것이 제일 확실하다.)
기술적인것을 더 알고 싶다면 아래 주소에서 참고 하시면 됩니다.

신고
0 Comments
댓글쓰기 폼