보안 Tip

보안 이슈, 팁, 다양한 보안소식을 mail로 받아보세요!

제목
Trojan.Drop.Softomat.AN수동치료법(fvmnr.dll)
글번호
151 / 2010-07-08
추천수/조회
/  0 / 25019

종류 : 루트킷

증상 : 확실치는 않으나 이 바이러스와 함께 오토런이 있을 경우 오토런 바이러스 치료 후에도 이동식 드라이브의 Recycler안의 s-…폴더 안에 파일 생성(치료 후 재부팅 후에는 파일 재생서안함)

 

Cmd system32 안의 숨김 속성 파일을 확인한 결과 fvmnr.dll 파일발견

Gmer 실행 시 jkzmope, qaqprvljp 발견

레지스트리로 jkzmope, qaqprvljp 의 연결파일 추적결과 fvmnr.dll 파일이 연결되어있는 것을 확인

 

(사진첨부의경우 가상머신에 감염을 시켜보았으나 바이러스가 작동을 안 하기에 gmer 등에서 발견안됨

파일 및 레지스트리를 추가하였으나 정상 감엽이 안되는 것으로 보아 특정 바이러스 감염시 동시 감염 추정)

 

처리방법

1.     P-Explorer gmer 실행, Explorer 종료

 

 

 

 

 

2.     File-run 클릭 후 regedit 실행

 

 

 

3.     HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\netsvcsjkzmope, qaqprvljp 키값 확인

(있다면 삭제)

 

 

 

 

   

4.     HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\jkzmope

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ qaqprvljp Start 키값을 4로 설정(실행을 안시키도록 하는 키값) 후 삭제

, 이작업을 하기 전에 레지스트리의 권한을 모든권한으로 설정해주어야함)

 

 

 

 

 

 

 

5.     gmer에서 file-c:\windows\system32안의 fvmnr.dll파일을 삭제

 

 

 

 

 

 

 

6.     재부팅

 

 

감사합니다.

 

 

 

상호 :(주)에브리존 터보백신 | 대표:홍승균|사업자등록번호:220-81-67981
Copyright ⓒEveryzone , Inc. All Rights Reserved.|