usp10.dll첨부된 두개의 파일은 윈도우즈 폴더내 System32 안에 있어야할 정상적인 파일입니다.
지금부터 집필하는 내용은 Trojan.Win32.Patched.kz 와 Dropper/OnlineGameHack.26476 와 관련된 내용의 바이러스를 여러분들께 알려드리기 위함입니다
위 바이러스의 증상은 일단 사용자가 눈치를 쉽게 챌수가 없습니다
그 이유는 어느정도 증식이 되어야만 감지가 되기때문인데요
최근 알약등 무료백신에서는 검출이 잘 안되고 있는 실정입니다
안철수연구소에서 제작한 V3 관련 정품으로는 검출 및 치료가 가능하다고 합니다
>> 기본정보
첫번째 바이러스(Trojan.Win32.Patched.kz) 이것은 Lpk.dll 과 관련된것으로
어떤 목적을 가진 정보를 뽑아가기 위한 악성코드가 담긴 파일이며
두번째 Dropper/OnlineGameHack.26476 이 것은 게임과 관련된 정보를
뽑아가기 위한 바이러스 입니다
즉 이 두가지가 결합이되면 자신이 즐기고 있는 게임의 계정정보나 게임내 케릭터의
아이템들이 어느날 갑자기 사라져있을수 있습니다
이 외에도 문서자료도 유출된다는 보고가 있느나 가장 많은 목적성은 역시나 게임이였습니다
아래 내용은 안철수연구소 홈페이지에서 두번째 바이러스항목에 대한 정보를 스크랩해온것입니다
| 다른 이름 | 없음 | ||||
|---|---|---|---|---|---|
| 위험도 | 시스템 위험도 | 네트워크 위험도 | 확산 위험도 | 현재 확산도  |
위험등급 |
| 높음 | 낮음 | 매우낮음 | 매우낮음 | ||
| 생성 파일명 | LPK.dll | ||||
| 대표적 증상 | 사용자 정보 유출 | ||||
| 활동 플랫폼 | 윈도우 | 감염/설치 경로 | 파일실행, 다른 악성코드 | ||
| 종류 | 트로이목마, 트로이목마(드롭퍼) | 형태 | 실행파일 | ||
| 제작국 | 불분명 | 최초 발견일 | 2008-11-17 (현지시각 기준) | ||
Dropper/OnlineGameHack.26476 는 특정 온라인 게임의 사용자 계정을 훔쳐가는 트로이목마 프로그램을 생성하는 드로퍼이다. 해당 드로퍼가 실행되면 시스템 루트\documents and settings\user\local settings\temp에 LPK.dll (4,608 바이트)를 생성하는데 이는 사용자의 키보드 입력을 가로채어 특정 메일주소로 전송하는 트로이목마이다.
기본정보는 이렇게 되어있지만 usp10.dll 이나 lpk.dll 을 이용하는 목적에 따라 트로이목마 명칭이 여러개이다
>> 감염후 증상
가장 흔한 증상은 컴퓨터가 평상시보다 현저히 느려집니다.
이는 파일을 계속 생성하느라고 자원을 잡아먹어서 느려지는것 같습니다.
쉴새없이 하드디스크를 읽어대어서 본체의 하드디스크램프에 불이 꺼질 틈이 없다는것이 특징입니다
감염확인이 늦어버리는경우 자신이 즐겨하는 게임의 계정정보가 바뀌어버린다던지
케릭터내 아이템이 없어졌다든지등의 증상이 생길수 있습니다.
>> 감염여부 확인 방법
확인해보기에 앞서 다음 몇가지 참고사항을 반드시 숙지하고 안내에 따라 진행해보길 바란다
※ 참고사항
1) 기본적으로 윈도우즈 폴더(이하 디렉토리라 칭함) 와 시스템 디렉토리(windows\system 혹은 windows\system32등) 에 존재하는 Usp10.dll 과 lpk.dll 은 정상적인 파일이며 삭제 시도시 접근이
거부됩니다
2) 1) 항목에서 언급한바와 같이 두개의 정상적인 파일은 윈도우 시스템에서 중요한 역활을 하는
시스템 파일이기 때문에 기본적으로 삭제되지 않도록 되어있지만 혹시나! 만에 하나라도
강제적인 어떤 방법을 동원하여 삭제해버린경우라면..
그래서 윈도우 구동이나 운영에 문제가 생긴경우라면 첨부된 두개의 파일을 받아서
넣어두길 바란다
부팅CD를 필히 준비하고 부팅한후에 복사하길 권장합니다
부팅CD 혹은 USB를 만드는 방법에 대해서는 다음에 집필합니다
참고사항까지 숙지가 되었다면 감염여부를 확인해보도록 합니다
1. 시작->실행 을 실행하면 아래와 같은 화면이 나오는데 입력란에 cmd 라고 입력하고
확인을 누르거나 엔터키를 눌러 실행합니다.
기본정보는 이렇게 되어있지만 usp10.dll 이나 lpk.dll 을 이용하는 목적에 따라 트로이목마 명칭이 여러개이다
>> 감염후 증상
가장 흔한 증상은 컴퓨터가 평상시보다 현저히 느려집니다.
이는 파일을 계속 생성하느라고 자원을 잡아먹어서 느려지는것 같습니다.
쉴새없이 하드디스크를 읽어대어서 본체의 하드디스크램프에 불이 꺼질 틈이 없다는것이 특징입니다
감염확인이 늦어버리는경우 자신이 즐겨하는 게임의 계정정보가 바뀌어버린다던지
케릭터내 아이템이 없어졌다든지등의 증상이 생길수 있습니다.
>> 감염여부 확인 방법
확인해보기에 앞서 다음 몇가지 참고사항을 반드시 숙지하고 안내에 따라 진행해보길 바란다
※ 참고사항
1) 기본적으로 윈도우즈 폴더(이하 디렉토리라 칭함) 와 시스템 디렉토리(windows\system 혹은 windows\system32등) 에 존재하는 Usp10.dll 과 lpk.dll 은 정상적인 파일이며 삭제 시도시 접근이
거부됩니다
2) 1) 항목에서 언급한바와 같이 두개의 정상적인 파일은 윈도우 시스템에서 중요한 역활을 하는
시스템 파일이기 때문에 기본적으로 삭제되지 않도록 되어있지만 혹시나! 만에 하나라도
강제적인 어떤 방법을 동원하여 삭제해버린경우라면..
그래서 윈도우 구동이나 운영에 문제가 생긴경우라면 첨부된 두개의 파일을 받아서
넣어두길 바란다
부팅CD를 필히 준비하고 부팅한후에 복사하길 권장합니다
부팅CD 혹은 USB를 만드는 방법에 대해서는 다음에 집필합니다
참고사항까지 숙지가 되었다면 감염여부를 확인해보도록 합니다
1. 시작->실행 을 실행하면 아래와 같은 화면이 나오는데 입력란에 cmd 라고 입력하고
확인을 누르거나 엔터키를 눌러 실행합니다.
2. 실행했다면 아래와 같은 검은창을 만나시게 됩니다
이 창의 명칭을 커멘드프롬프트 윈도우라고 합니다
언급 및 이해하기 쉽도록 도스(DOS)창이라고 하겠습니다
도스창이 뜨면 그림처럼 cd.. 혹은 cd\ 를 입력하고 엔터를 눌러줍니다
cd.. 으로 명령을 줄경우 c:\ 까지 나가기 위해서는 여러번 반복해야 할수도 있으므로 가급적이면
cd\ 라고 합니다.
3. c:\ 까지 잘 빠저 나오셨다면 이제부터 확인작업을 하기 위한 명령을 내려야 됩니다
이제부터 잘 보셔야 됩니다
아래 그림과 같이 dir usp10.dll lpk.dll /a /s 라고 명령을 넣고 실행합니다
주의 하셔야 될것은 명령을 줄때 띄어쓰기를 잘하셔야 됩니다
띄어쓰기가 잘못되었을경우 검색결과가 잘못나오거나 없는 명령어라고 출력할수도 있습니다
간혹 usp.dll 로도 위장하는경우가 있습니다 그렇기때문에 저는 dir usp*.dll lpk.dll /a /s 라고
검색명령을 내립니다.
4. 검색을 시작하게 되면 아무리 오래 걸려도 최대 10분에서 15분정도면 모든 검색이 완료됩니다.
검색이 완료된후 위에서 언급한바와 같이 윈도우 디렉토리나 윈도우 디렉토리내 시스템디렉토리에
만 위치한 두개의 파일만 검출이 되면 문제가 없지만 아래와 같이 그 이상으로 검출이 된다면
감염이 된것입니다.
5. 이 검색작업은 자신이 사용하는 하드 드라이브 갯수만큼 드라이브를 이동하면서 하셔야 됩니다
즉, 하드디스크가 2개이며 c 와 d 두개의 드라이브를 이용중이라면
위에서 작업하신 그대로 d: 로 가셔서 하셔야 한단 이야기입니다
도스창에서 드라이브 이동방법은 d: 라고 입력후 엔터를 눌러 실행하시면 바뀝니다.
6. 저는 수십개가 나왔었습니다 ........-_-
일단 정상적인 두개의 파일외에 더 많이 검출되었다면 치료를 해야됩니다
>> 치료방법
치료 방법은 안철수연구소에서 제작한 V3 백신을 이용하여 정밀검사후 치료하는 방법과 안전모드로
부팅하여 수동 치료하는 방법이 있습니다.
V3 백신을 이용하더라도 안전모드에서 검사 및 치료하는것이 안전하고 재감염위험이 줄어듭니다
수동치료 방법을 여기서는 안내해 드립니다
1) 윈도우를 재시작합니다
2) 부팅중 CPU체크와 메모리체크 화면에서 넘아갈때 즉 부팅이 막 시작될때
F8 키를 사정없이 눌러줍니다 (XP 기준이므로 사용하시는 OS에 따라 다소 차이가 있을수 있습니다.)
3) 2번 항목에서 정상적으로 운영체제가 인식한경우 부팅방법을 묻는 화면이 나오게 됩니다
이곳에서 안전모드(프롬프트방식) 으로 선택하여 부팅을 시작하도록 합니다
4) 부팅이 완료되면 프롬프트(도스창)창이 덩그러니 뜨고 완료될것입니다
이상태에서 cd\ 라는 명령을 내린후 del usp*.dll lpk.dll /a /s 라고 명령을
내려주면 관련된 두개의 파일들을 찾아가며 삭제합니다.
마찬가지로 명령을 준 드라이브에 탑재되어있는 내용(폴더와 파일갯수)에 따라
시간이 수분정도 소요됩니다.
자신이 사용중인 드라이브 모두 다니면서 삭제 명령을 내려주셔야 됩니다.
5) 삭제를 완료하셨다면 shutdown -r 명령을 내려주어 윈도우를 재부팅하도록 합니다.
이로써 치료가 완료되었습니다.
단, 위 두개의 바이러스 파일을 생산하는 트로이목마 프로그램이 존재할경우 같이 삭제하셔야
재 감염이 없습니다.
여러가지 형태로 존재하기 때문에 이방법으로 치료가 안되면 반드시 백신을 구입하셔서 치료하셔야 됩니다.
>> 치료후기 및 감염예상 경로
처음엔 많이 당황하고 찜찜하여 상당히 심적으로 부담이 됩니다
치료후에도 계속 확인하게되는 후유증도 생기구요
치료를 하고 난 후에는 반드시 자신이 사용하는 정보의 비밀번호등을 변경하여 정보가 새어
나가서 피해를 보는 일이 없도록 사전예방을 합시다
감염이 된후인지 전인지 모르겠으나 여러종류의 압축파일중 (rar,zip,alz,7z) 에서만 usp10.dll 이
발견되었었습니다.
압축파일이 많다면 일일이 찾아다니며 삭제하는것이 여간 수고스러운일이 아닙니다
그래서 백신검사옵션중 압축파일검사 기능을 켠후 검사 및 치료하시길 권장합니다
혹은, 압축파일을 추후에라도 풀어사용해야 할경우 반드시 위와 같은 파일이 같이 있지 않은지 확인후
삭제하고 압축풀길 바랍니다
예상하는 감염경로는 파일공유사이트에서 옮겨오는 경우가 많은것 같습니다
반드시 백신을 설치하고 실시간감시를 켜두신후에 이용하시길 바라며
또하나의 감염경로는 불법프로그램입니다
자신이 즐겨하는 게임을 조금더 용이하게 편하게 하기 위해 불법적으로 제작된 프로그램을
구하여 사용하고자 하는 분이 많은데 이때 많이 옮겨오는경우가 발생됩니다
반드시 확인하고 압축풀기 및 설치를 실행하시기 바랍니다
그 어떤 프로그램에서도 Usp.dll 혹은 Usp10.dll 이 필요치 않습니다
그러므로 무조건 삭제후 압축해제하시길 바랍니다
단, 사용자임의 프로그램이여서 필요파일명이 위와 같은경우는 제외입니다만
제작자분들께 당부드리자면 위와 같은 파일이름으로는 만들지 않길 바랍니다
감염자 및 유포자분들 건투를 빕니다-------;
'천년열혼 > 소소한 가십거리' 카테고리의 다른 글
| 나는가수다 '박정현 - 첫인상', '김범수 - 제발' (0) | 2011.03.28 |
|---|---|
| Win32/Parite.x 웜바이러스 대처방법 (0) | 2011.03.15 |
| 김보경-하루하루 연습중 ^^ (0) | 2011.03.05 |
| 우영♡아이유 실제 데이트 고백 화제!! (0) | 2011.03.02 |
| 낮에 잠못자는 이유 밝혀졌다!! (0) | 2011.02.19 |