본문으로 바로가기

 요즘 재부팅에 장애를 일으키는 악성코드가 이슈이다.
 그 악성코드와 관련된것으론 보이지 않으나, 재부팅에 문제가 생기는 또다른 악성코드 이다.

 악성코드 제작자들의 의도인지 아닌지는 모르겠으나,
 파일의 권한 문제, 잘못된 레지스트리 정보, 악성코드 파일의 위치 문제
 시스템의 부팅이 원할하게 되지 않는 악성코드가 지속적으로 발생하는 것 같다.
 
 다음의 악성코드는 이메일로 전파되며, 링크를 클릭하면, patch.exe파일을 다운로드 하게 유도한다.
 

 실행 후 재부팅하면 블루스크린이 지속적으로 발생하여 시스템에 영향을 준다.
 안전모드 부팅 후 해당 파일과 레지스트리를 삭제하면 다시 원래대로 부팅은 가능하다.

 악성코드는 실행시 최초 미국의 특정 서버로 정보를 2번 전송하며, 해당 정보는 정확히 어떤 정보인지 아직 분석중이다.
 다른 DNS 쿼리를 요청할 것으로도 추정된다. 추가적인 서버접속이 이루어 지지 않을까....
 미국 특정 서버 :  dino-war1722.com
 
 레지스트리 정보 변경
 [ HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit ] 
  "C:\WINDOWS\system32\userinit.exe,"
 [ HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit ]
  "C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,"

 파일 생성
 %system%\sdra64.exe - patch.exe와 동일파일
 폴더 생성
 %system32%lowsec\ -
                                  |- local.ds
                                  |- user.ds (0 bytes)
                            
 sdra64.exe 와 2개의 ds파일 및 lowsec 폴더는 탐색기로 탐색이 불가능하게 숨겨져 있다.
 후킹코드도 없고, 루트킷도 설치 하지 않으나, 숨겨져 있는 것으로 보아
 해당 파일 및 폴더들의 권한이 빠져있는 것으로 추정된다.
 

[ local.ds ]




 

댓글을 달아 주세요

  1. Favicon of http://jonong.tistory.com/ BlogIcon 짜증나는 악성코드.. 2010.01.08 18:28

    예전에 어느사람이 프록시 무한으로 쓸수잇다 해서 준파일이 이거엿군 제기랄.. patch.exe 딱맞네 제길..

  2. dd 2010.08.16 23:25

    그럼 이거 고칠려면 어케 해야 되나요

  3. 이 아름다운하고 유익한 기사가 우리 삶의 제작이 게시물의 작성자쪽으로 정말 감사입니다. 저희는 귀하의 노력을 주셔서 정말 감사드립니다. 우수한 작품을 유지합니다.