### CyBoard ###

글쓴이

정광천

조회수

3000

이메일

작성일

2007-09-13 13:56:00

제목

론다 웜 확산에 따른 감염 주의

□ 개요

   최근 국내에서 P2P를 통하여 전파되고, 감염 시 윈도우 부팅에 장애를 발생시키는 웜이 출현
   하여 주의가 필요
   P2P 사용자는 론다 웜이 생성하는 파일명과 동일한 파일들은 다운로드 및 실행하지 않도록
   주의 필요

□ 전파 방법

o 푸루나, 버디버디 P2P 공유폴더를 통하여 전파
- 해당 웜은 감염 시 P2P 에 자신을 정상적인 파일로 위장하여 공유 시킴
- P2P 사용자가 해당 파일을 검색 및 다운로드하여 실행시킬 경우 감염됨

o 푸루나 P2P 공유를 통하여 전파
        "C:\Program Files\Pruna\Incoming" 폴더 위치에 아래의 이름으로
        악성파일 생성 및 공유
                 muse - uno.mp3.scr
                 Daniel Powter - Free loop.mp3.scr
                 Vistar.scr
                 MP3.scr
                 GameCrack.scr
                 excel.scr
                 microsoft.scr
                 Crack.scr
                 비스타크랙.scr
                 비스타Crack.scr
                 최신음악.scr
                 크랙.scr
                 크랙파일.scr
                 Virut백신.scr

o 버디버디 P2P 를 통하여 전파
        "C:\programm files\buddybuddy\down\" 폴더 위치에 아래의 이름으로
        악성파일 생성 및 공유
                 slipout.scr
                 muse - uno.mp3.scr
                 Daniel powter - Free loop.mp3.scr
                 photo.scr

□ 악성 기능

o 주요 시스템 파일 및 기타파일 삭제
     - 아래의 파일들을 삭제
         시스템폴더\hal.dll
         시스템폴더\Restore\rstrui.exe
         C:\WINDOWS\ServicePackFiles\i386\rstrui.exe
         시스템폴더\Restore\rstrui.exe
       시스템폴더\dllcache\rstrui.exe
        시스템폴더\Restore\rstrui.exe
         시스템폴더\dllcache\rstrui.exe
         C:\Program Files\Ahnlab\V3\*.*
         C:\Program Files\Ahnlab\V3
        시스템폴더\drivers\acpi.sys
        C:\Program Files\Microsoft Visual Studio\*.*
        D:\*.*
         시스템폴더\drivers\*.*

※ 참고: 윈도우시스템 주요 파일들은 Windows File Protection (WFP) 기능에 의하여
자동 복구됨

o 폴더 삭제
- 아래의 폴더를 삭제시도 함
C:\Program Files\Microsoft Visual Studio\

o 안전모드로 부팅되도록 셋팅
- "C:\BOOT.INT" 파일의 마지막 라인에 "/safeboot:minimal" 문자열을 추가하여
안전모드로 부팅되도록 셋팅

o 시스템 재 부팅
- 아래의 셀 스크립트를 실행하여 시스템을 재부팅 시킴
"shutdown -s -t 60 -c jian1070_Final_kernel_asdwermm"

o 프로세스 중단
      - 아래의 셀스크립트를 실행하여 msblster 및 explorer, iexplorer 프로세스를 중단시킴
         "C:\WINDOWS\system32\tskill msblast"
         "C:\WINDOWS\system32\tskill explorer"
         "C:\WINDOWS\system32\tskill iexplore"

o 폴더 및 파일생성
      - 아래의 폴더 및 파일을 생성시킴
          C:\Program Files\Pruna\Incoming\Virut
          C:\net1.exe.scr
          C:\net_jian1070.exe.scr
          C:\net.exe.scr
          C:\jian1070.jpg.scr
          C:\jian1070.wmf.scr
          C:\asdwermm.eml

o 악성코드 내에 아래의 문자열이 포함되어 있음
          Cause its hard for me to lose
          In my life Ive found only time will tell
          And I will figure out that we can baby

□ 감염 증상

o 감염 후 시스템 부팅에 장애가 발생하게 됨

□ 치료 방법

   1. 윈도우OS CD를 넣고 부팅 후 "윈도우 복원" 선택

   2. 윈도우 암호 입력 후 아래 명령 입력 후 재부팅

        cd c:\windows\system32
        expand e:\i386\hal.dl_

   3. 시작 -> 실행 -> "msconfig" 입력

4. BOOT.INI 탭에서 "안전모드 부팅" 선택항목 해제

   5. 웜이 생성한 파일 삭제

        . 위치: C:\Program Files\Pruna\Incoming
        . 삭제할파일: muse - uno.mp3.scr
                     Daniel Powter - Free loop.mp3.scr
                     Vistar.scr
                     MP3.scr
                     GameCrack.scr
                     excel.scr
                     microsoft.scr
                     Crack.scr
                     비스타크랙.scr
                     비스타Crack.scr
                     최신음악.scr
                     크랙.scr
                     크랙파일.scr
                     Virut백신.scr

        . 위치: C:\programm files\buddybuddy\down\
        . 삭제할파일: slipout.scr
                    muse - uno.mp3.scr
                    Daniel powter - Free loop.mp3.scr
                    photo.scr

        . 위치: c:\
        . 삭제할파일: C:\net1.exe.scr
                     C:\net_jian1070.exe.scr
                     C:\net.exe.scr
                     C:\jian1070.jpg.scr
                     C:\jian1070.wmf.scr
                     C:\asdwermm.eml

□ 예방 방법

o 프루나 및 버디버디 P2P를 사용할 경우, 론다 웜이 생성하는 파일명과 동일한 파일들은
다운로드 및 실행하지 않도록 주의

IP Address : 210.118.178.153