본문 바로가기

벌새::Analysis

국내 백신 업데이트를 방해하는 wshtcpip.dll 온라인 게임핵 유포 주의 (2012.7.21)

반응형

Adobe Flash Player, Oracle JRE 등의 보안 취약점을 이용한 주말 유포 사례에서 감염시 국내 대표적인 백신 프로그램의 업데이트 서버 접속을 방해하는 방식이 지속적으로 발견되고 있습니다. 

이로 인하여 감염된 환경에서는 백신 프로그램 동작에는 문제가 없는데 AhnLab V3 백신의 경우 "업데이트 중 오류가 발생했습니다. (-1073741819)" 메시지 표시나 알약(ALYac) 백신에서는 "업데이트 서버와 연결에 실패하였습니다."라는 메시지를 통해 최신 DB 업데이트를 하지 못하도록 업데이트 서버를 차단하는 것을 확인할 수 있습니다.

 

현재 확인된 이번 주말 유포 행위 중 wshtcpip.dll 시스템 파일 패치를 통해 온라인 게임 계정 정보를 수집하는 악성코드 감염으로 인한 사례를 통해 간단하게 살펴보도록 하겠습니다.

 

참고로 해당 유포는 사용자가 보안 패치가 제대로 적용되지 않은 특정 웹 사이트를 방문할 경우 자동으로 감염되며, 최종적으로 다운로드된 악성 파일(MD5 : 7efb0e28ed103224209e6065d0877da0)에 대하여 AhnLab V3 보안 제품에서는 Dropper/Win32.OnlineGameHack (VirusTotal : 12/42) 진단명으로 진단되고 있습니다.

 

감염이 이루어지면 C 드라이브 내의 랜덤(Random)한 위치에 "(6자리 영문+숫자).tmp" 악성 파일(MD5 : 23b92164d917cfcedaa228cf4d749c63)을 생성하여 ClearFilter 서비스 등록하고 자가 삭제 처리됩니다. 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CLEARFILTER
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ClearFilter

참고로 해당 랜덤(Random)한 이름을 가지는 파일에 대하여 AhnLab V3 보안 제품에서는 Trojan/Win32.Rootkit (VirusTotal : 3/42) 진단명으로 진단되고 있습니다.

 

[생성 파일 및 진단 정보]

 

C:\WINDOWS\system32\drivers\etc\yQYus :: 시스템 재부팅시 자가 삭제
※ 해당 파일은 (5자리 영문+숫자) 형태입니다.

 

C:\WINDOWS\system32\CmoG7IK.tmp :: wshtcpip.dll 백업 파일(정상 파일)

※ 해당 파일은 (7자리 영문+숫자).tmp 형태이며, 시스템 재부팅시 자가 삭제 처리됩니다.


C:\WINDOWS\system32\tcpipv6.dll :: (= wshtcpip.dll) / 정상 파일


C:\WINDOWS\system32\wshtcpip.dll :: 변경 전 파일 크기(19,456 Bytes) / 변경 후 파일 크기(72,649 Bytes)
 - MD5 : ca7746c10aef71c4405eabfe19b70715
 - AhnLab V3 : Trojan/Win32.OnlineGameHack (VirusTotal : 11/42)

감염 과정에서 악성 파일 생성이 완료된 후에는 [C:\WINDOWS\system32\cmd.exe /C ping 1.1.1.1 -n 1 -w 1000>nul& del "(최종 다운로드 파일)"] CMD 명령어를 통해 핑(Ping) 테스트와 최종 다운로드 파일을 삭제 처리합니다.

 

1. 국내 백신 업데이트 서버 차단 

초기 감염된 환경에서는 "C:\WINDOWS\system32\drivers\etc" 폴더 내의 호스트 파일(hosts)을 건드리지 않고, 랜덤(Random)한 파일을 생성하여 네이버 백신(Naver Vaccine), 알약(ALYac), AhnLab V3 업데이트 서버 정보를 추가하고 있습니다. 

이를 통해 백신 프로그램이 정상적으로 동작하는 환경에서도 업데이트를 시도할 경우 정상적으로 연결이 되지 않는 것을 확인할 수 있습니다. 

테스트에서는 AhnLab V3 Lite 제품의 경우 업데이트를 시도할 경우 연결이 되지 않는 문제와 함께 CPU가 장시간 지속적으로 치솟는 문제도 발견이 되고 있습니다.

 

2. "C:\WINDOWS\system32\wshtcpip.dll" 시스템 파일 패치 

해당 악성코드는 감염시 "C:\WINDOWS\system32\wshtcpip.dll" 시스템 파일(Windows Sockets Helper DLL)을 "C:\WINDOWS\system32\(7자리 영문+숫자).tmp" 파일로 백업을 한 후 악성 파일로 패치를 합니다.

 

패치된 악성 "C:\WINDOWS\system32\wshtcpip.dll" 파일은 ws2help.dll(Windows Socket 2.0 Helper for Windows NT) 속성값을 가지고 있는 것이 특징이며, 정상적인 wshtcpip.dll 기능은 "C:\WINDOWS\system32\tcpipv6.dll" 파일을 생성하여 포워딩합니다. 

감염된 환경에서 사용자가 한게임(HanGame)을 비롯한 특정 온라인 계정에 접속하여 로그인을 시도하는 과정에서 미국(USA)에 위치한 "img.t215.com(142.54.163.50)" 서버로 계정 아이디(ID), 비밀번호, OTP 정보 등이 실시간으로 전송될 수 있습니다.

 

3. 감염 후 시스템 재부팅시 

  • C:\WINDOWS\system32\drivers\etc\(5자리 영문+숫자)
  • C:\WINDOWS\system32\(7자리 영문+숫자).tmp

이렇게 감염이 이루어진 PC 환경에서 사용자가 시스템 재부팅을 진행하게 되며, 백신 업데이트 서버를 차단하는 정보 파일과 wshtcpip.dll 시스템 파일 백업 파일을 자동으로 삭제 처리하여 사용자가 쉽게 눈치챌 수 없도록 하고 있습니다.

 

이후에도 지속적인 백신 업데이트 차단 및 온라임 게임 계정 정보 유출 행위는 지속적으로 이루어지며, 수동으로 해당 문제를 해결하기 위해서는 다음의 절차에 따르시기 바랍니다.

 

(1) "C:\WINDOWS\system32\wshtcpip.dll" 악성 파일의 확장자 변경하기(※ 예 : wshtcpip.dll-Malware) 

모든 프로그램을 종료한 상태에서 윈도우 탐색기를 통해 "C:\WINDOWS\system32\wshtcpip.dll" 파일의 확장자를 "wshtcpip.dll-Malware"와 같은 형태로 변경하시기 바랍니다.

 

이에 따라 윈도우 파일 보호(WFP) 기능을 통해 자동으로 정상적인 wshtcpip.dll 파일이 생성되므로 윈도우 탐색기를 재실행하여 반드시 확인하시기 바랍니다.

 

(2) ClearFilter 서비스 값 제거하기 

실행창에 [sc delete "ClearFilter"] 명령어를 입력하여 등록된 ClearFilter 서비스 값을 제거하시기 바랍니다. 

그 후, 레지스트리 편집기(regedit)를 실행하여 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_

CLEARFILTER" 값을 찾으시기 바랍니다.

 

해당 값에 마우스 우클릭을 통해 "사용 권한" 메뉴를 클릭하여 "Everyone"의 사용 권한 중 "모든 권한 → 허용"에 체크를 하여 적용한 후 삭제를 시도하시기 바랍니다.

 

(3) 시스템 재부팅을 반드시 한 후, 제시된 2개의 파일을 삭제하시기 바랍니다.

 

  • C:\WINDOWS\system32\tcpipv6.dll :: 정상 파일
  • C:\WINDOWS\system32\wshtcpip.dll-Malware :: 악성 파일

또한 정상적으로 백신 업데이트 서버와의 연결이 이루어지므로 최신 DB 업데이트를 통해 시스템 정밀 검사을 추가적으로 진행하시기 바랍니다.

 

위와 같은 악성코드에 감염된 사용자는 반드시 Windows 보안 패치를 비롯하여 Adobe Flash Player, Oracle JRE(설치된 PC만 해당) 최신 버전을 반드시 설치하시고 인터넷을 이용하시기 바랍니다.

728x90
반응형
  • root 2012.07.21 20:52 댓글주소 수정/삭제 댓글쓰기

    좋은글 감사합니다^^
    어베스트도 잡나요?ㅎㅎ

  • 벌새 님 , 그런데
    제가 알기로는 시스템은 DNS를 참조하기 전에
    호스트 파일을 참조한다고 알고 있는데요 .

    C:\WINDOWS\system32\drivers
    폴더에서 호스트 파일은 놔두고 랜덤한 파일 생성으로도
    접속 차단이 가능한 건가요 ?

    아니면 랜덤 파일이 결국 호스트 파일을 대체하는 건가요 ?

    그리고 이 글을 제 예전 글 "V3 또는 알약이 안 될 때"라는
    글에 링크하겠습니다 .....

    혹시 그건 안 된다 하시면 나중에 삭제할게요 ^ ^*

    • 알약 환경을 예를 들어보겠습니다.

      최초 감염이 이루어지면 호스트 폴더 내에 랜덤한 파일을 생성하여, 사용자가 수동(자동) 업데이트를 시도할 경우 해당 파일을 참조하여 업데이트 연결을 하지 못하게 합니다.

      그 이후 시스템 재부팅을 한 경우에는 해당 파일을 제거하지만 AYAgent.aye 프로세스 또는 AhnLab V3의 V3Light.exe 프로세스의 CPU를 극심하게 올려서 알약의 경우 프로그램을 열지 못하게 하고 트레이 메뉴도 사용하지 못하게 방해합니다. 즉 수동 업데이트는 원천적으로 방해를 하는거죠.(일종의 AVKiller로 이해하시면 될 것 같습니다.)

      자동 업데이트의 경우에도 재부팅 후 ping을 날려보면 결국 wshtcpip.dll 파일을 참조하므로 이 과정에서 연결이 이루어지지 않게 하는 것 같습니다.

      결과적으로 호스트 폴더 내의 1회성 랜덤 파일은 최초 감염시에만 적용되고 재부팅 환경에서는 제품 CPU 올리기와 wshtcpip.dll 파일을 이용하여 백신 기능을 방해하고 있습니다.

    • 파일 동작을 좀 더 확인해보면 시스템 재부팅 이후에는 AYAgent.aye 프로세스에 wshtcpip.dll 악성 파일이 인젝션되어서 업데이트 방해, CPU 상승을 유발합니다.

      테스트 환경에서 감염이 되면 CPU 100% 상승으로 PC가 상당히 느려질 것으로 보이는 품질이 떨어지는 악성 파일이군요.ㅠㅠ

  • 벌새 님 , 자세한 설명 너무 감사합니다 . ^ ^*

    자연계에서의 세균이나 바이러스 감염의 경우
    보다 진화된 세균이나 바이러스는 숙주를 오래 살려 놓죠 .
    숙주가 죽으면 자신의 명도 다하는 거니까요 .

    그런데 에볼라 바이러스처럼 정말 원시적(?) 바이러스 같은 경우에는
    숙주를 그냥 죽여버려서 자기도 같이 죽죠 ㅠ ㅜ

    요즈음 유행하는 백신 실행 방해 악성코드 , 온라인게임핵 종류가
    에볼라 바이러스 격인 거로 보입니다 .
    (그래서 다행이긴 하죠 . "백신이 검출을 못해도" 사람들이 악성코드 감염을 알아차리니 말이죠 .)

    그러고 보니 또 다른 한 주가 시작되었습니다 .

    이번 주도 행복한 한 주 되세요 ^ ^*

  • 지나가던 2012.07.28 00:37 댓글주소 수정/삭제 댓글쓰기

    벌새님 안녕하세요 ^^
    바이러스 감염 후 인터넷이 되질 않아 핸드폰으로 검색하던 차에 이 블로그를 통해 다행이 치료를 해서 고마움의 말씀을 드리러 리플 답니다.

    이런 말씀 드리기 죄송하지만 제가 궁금한게 있어서 질문 좀 드리고 싶습니다 ^^;
    다름 아니라
    제 컴퓨터에는
    "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_
    CLEARFILTER"
    이 없고 또한
    C:\WINDOWS\system32\tcpipv6.dll 역시 존재하지 않아서

    일단 이것들은 건너 뛰고 하라고 하신 것만 했더니 인터넷이 다시 되네요 ^^
    헌데 이러한 절차를 건너뛴 것이 못내 마음에 걸려 혹시나 싶어 리플을 달아봅니다.
    크게 상관 없는 것인가요?

    어찌 됐건 다시 인터넷이 뜨고 네이버 백신에서 지긋지긋하게 뜨던 바이러스 감염 경보는 더이상 안 뜨네요 ^^
    다시 한 번 감사 드리며 추천 박고 갑니다 (_ _)

    • 일부 없는 값 또는 파일은 wshtcpip.dll 시스템 파일을 이용한 악성코드 감염 과정에서 변종(다른 형태)에 의해 다른 파일명으로 감염된 경우로 보입니다.

      아마 일부 파일 정보는 게시글과 일치할 수 있지만 다른 악성코드 감염으로 인해 일부 정보는 다를 수 있습니다.

      워낙 이런 종류가 수십~수백종이라서 대표적인 것으로 작성된 글임을 양해하시기 바랍니다.

      일단 인터넷이 되신다면 유명 백신 프로그램을 이용하여 반드시 추가적인 정밀 검사를 하시기 바랍니다.

  • 해킹 2012.08.20 01:52 댓글주소 수정/삭제 댓글쓰기

    저는 eset와 avast가 치료가안되서 avira깔았더니 치료땜시 감염된 wshtcpip.dll파일이 삭제되서 깨끗한 wshtcpip.dll파일을 구해서 다시넣었더니 인터넷도되고 업데이트안되던 백신도 업데이트가되네요 참고하세요 ^^~
    ---
    아 그리고 질문드릴게있는데 eset가 치료를못해서 avast를깔았는데 avast가 설치는되는데 실행해도 바로꺼지더군요.. 이것도 바이러스때문인가요??

  • 물고기 2012.12.27 01:12 댓글주소 수정/삭제 댓글쓰기

    벌새님 안녕하세요... 지나가다 들려보았네요..
    바이러스를 치료하고 재부팅해도 계속 감염되어 있길레 검색을 통해 이 블로그에 들리게 되었네요..

    그리고 글을 읽으며 지시방법대로 하다 궁금한점이 생겨서 이렇게 글 올려봅니다.

    제가 위 지시사항대로 하던 도중
    레지스트 편집기에서 CLEARFILTER 이 없어서 그 부분을 건너띄고 감염된 wshtcpip파일을 삭제하려 하는데 액세스가 거부되었다구 자꾸 뜨네요.. 재부팅을 다시 해 보아도 그대로 남아있구요... 어디가 문제인지를 잘 모르겠습니다..
    이건 어떻게 해야 할까요..? ㅜ

    • 악성 파일이 비슷하지만 다른 종류로 보입니다. 내용에서 언급한 값이나 파일이 없는 경우에는 기본적으로 Pass해서 진행하시는 것이 맞지만, 거부되는 동작이 있다는 것은 다른 악성 파일이 추가적으로 존재하거나 여기에서 소개한 내용과는 또 다른 유사 변종으로 인한 문제로 보입니다.ㅠㅠ

      이런 경우에는 백신 프로그램(전용 백신)으로 해결하시길 바랍니다.

      http://www.ahnlab.com/kr/site/download/vacc/vaccView.do?seq=105

  • 횡가리 2012.12.28 20:56 댓글주소 수정/삭제 댓글쓰기

    시작부터 ㅠ.ㅠ 막히는뎅 wshtcpip.dll 파일 이름을 바꾸려고 하는데 trustedinstaller에서 사용권한을 부여받아야하는데 어찌하죠 황새님 ㅠㅠ

    • 질문을 봐서는 Windows Vista / 7 운영 체제 환경으로 보입니다? 이런 경우에는 Windows XP와는 다르게 파일 보안 방식의 변화로 이 내용처럼 수정이 불가능합니다.

      전용 백신을 이용하시기 바랍니다.

      http://www.ahnlab.com/kr/site/download/vacc/vaccView.do?seq=105

  • ClearFilter 2013.01.07 09:01 댓글주소 수정/삭제 댓글쓰기

    실행창에 sc delete "ClearFilter" 해도 실행이 안되요

    • 해당 분석 내용은 반년전 내용으로 최근 유포되는 것들과 유사한 점은 있지만 일부 내용은 달라졌을 수 있습니다.

      아마 ClearFilter 부분은 감염시 변경되었을 것으로 보입니다.

  • 이하노 2013.01.12 18:12 댓글주소 수정/삭제 댓글쓰기

    벌새님이 알려주신 대로 다 해보았지만, 제 컴퓨터에는 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_
    CLEARFILTER" 도 C:\WINDOWS\system32\tcpipv6.dll 역시 존재하지 않더라구요 변종파일 인것 같아. wshtcpip.dll 우클릭을 해보니, 155KB에 수정한 날짜와 엑세스된 날짜가 동일하더라구요, 물론 '버전'탭도 없구요.

    악성코드가 확실 한 것 같아서 이름을 "wshtcpip.dll_Malware"로 변경해 두었습니다.
    삭제까진 하였는데, 자동으로 wshtcpip.dll이 생기지 않더라구요, 왜그런건지.. 알 수 있을 까요?ㅠ

    자동으로 복구가 되어야 할게 안생기는 거면, 어디에 이상이 있는건지.. 걱정되네요ㅠ

    지금은 블루스크린이 뜰까봐 복구해둔 상태구요, 프로세스 초기화도 , 안전모드에서 V3를 실행시키려해도 엔진을 찾을 수 없습니다. 라고 바이러스에 계속 막혀서 안되네요.ㅠ 앞이 깜깜합니다.ㅠ

    • 자동으로 생성이 되지 않는 문제는 감염으로 인해 파일 복구에 사용될 백업 파일까지 삭제된 경우가 아닌가 싶습니다.

      이런 경우에는 C:\WINDOWS\system32\dllcache 폴더(숨김, 시스템 속성) 내부에서 wshtcpip.dll 백업 파일을 복사해서 시스템 폴더에 넣는 수 밖에는 없습니다.

      하지만 해당 백업 파일이 삭제 또는 파일 이름 변경이 이루어졌을 수 있으므로 이런 경우에는 윈도우 CD로 파일을 복구하거나 포맷을 해야 할 것으로 생각됩니다.

      되도록 수동으로 해결하지 마시고 전용 백신 프로그램을 이용해 보시기 바랍니다.

      http://www.ahnlab.com/kr/site/download/vacc/vaccView.do?seq=105

  • 정현이 2013.01.19 16:12 댓글주소 수정/삭제 댓글쓰기

    v3 실시간이 안되어서 wshtcpip.dll 이런거 때문에 안된다고 해서 삭제를 하려구 보니까 wshtcpai wshtcpbi 이거랑 wshtcpip.dll 이렇게 있네요 먼저 cpip.dll 뒤에 이름을 바꾸고 cpai 랑 cpbi 둘다 삭제해도 되는건가요 ?ㅠㅠ

    • 일단 wshtcpip.dll 파일은 시스템 파일로 반드시 존재해야 하는 파일입니다.

      해당 파일이 악성 파일로 바꿔치기 당했다면 해당 파일명을 변경하여 정상 파일로 수정하고 나머지 유사한 이름은 삭제하는 것이 맞을 것 같습니다.

      하지만 이것은 일반적인 방식이고 실제 감염된 PC를 보지 않는 한 장담하기는 어렵습니다.

      판단이 서지 않을 경우에는 되도록 전용 백신(http://www.ahnlab.com/kr/site/download/vacc/vaccView.do?seq=105)을 이용하시기 바랍니다.

  • 잭슨 2013.01.27 21:44 댓글주소 수정/삭제 댓글쓰기

    와~정말 감사요.. 해킹땜시 인터넷도 안되서 핸드폰으로 보면서 했는데 다행이 잘되었어요~ 너무 감사 드립니다~감사감사

  • ㅠ컴맹.. 2013.02.09 20:57 댓글주소 수정/삭제 댓글쓰기

    확장자명을변경하긴했습니다만 비슷한파일명이뜨질않네요 ㅠㅠ숨김파일도 아닌것같고..그냥 확장자명만 변경하면 치료가끝난건가요?

    • 확장자를 변경한 이후에 탐색기를 다시 실행해서 원래 파일이 재생성되어야 합니다.

      만약 그렇지 않다면 재부팅 할 경우 윈도우를 사용하지 못할 수 있습니다.

      그러므로 이런 경우에는 차라리 확장자 변경 방식보다 전용 백신이나 보안 제품으로 치료를 하시기 바랍니다.

      http://www.ahnlab.com/kr/site/download/vacc/vaccView.do?seq=105

      http://www.ahnlab.com/kr/site/download/vacc/vaccView.do?seq=110

  • 미치겠다요 2013.02.17 15:56 댓글주소 수정/삭제 댓글쓰기

    안녕하세요. 바이러스와 전쟁중인 사람입니다...해결하려하던도중 벌새님 글과 비슷한 경우라 생각되어 질문 해 봅니다 ㅠ온라인게임핵 바이러스가 5차째 침입중입니다. 게임도중 블루스크린이 뜨고 부팅을하면 v3가 실행이 안됩니다. 댓글 링크와 같은 안철수연구소의 전용 핵킬 백신을 사용하여 바이러스를 잡아내고 v3를 다시 깔아 정밀검사를하면 매번 같은 양에 같은 바이러스가 걸러집니다. 컴퓨터 자체 해킹인가도 싶었지만 프롬프트를 사용해 ip를 보니 그건 아닌거같고, 아무래도 찾아내지 못하는 숙주 바이러스가 있는거 같습니다. 위같은 대응을 한 후에 길게는 3주 짧게는 하루만에 같은 증상이 나타납니다. 현재 벌새님 마지막 댓글에 두번째 핵킬 백신으로 안전모드에서 검사중입니다. 평소에 쓰던건 그 바로 위 백신 같더군요. 컴퓨터에 많이 알지를 못해 나름대로의 대응을했지만 반복되는 증상으로 미치겠습니다. 답답한 마음에 폰으로 댓글로라도 글을 적어봅니다. 혹여 부품 고장인가도 싶고 .. 원인이 뭘까요ㅠ 어떻게 해야할까요 ...

    • 안녕하세요.

      일단 워낙 유사한 변종이 많아서 어떻게 치료하라고는 글로는 말씀드리기 매우 어렵습니다.

      그런데 내용을 보면 5차례나 반복적으로 감염을 경험하셨다고 하시는데, 이런 부분은 사용자가 조금만 신경을 쓰면 감염이 이루어지지 않도록 할 수 있는 부분입니다.

      1. 매달 정기적으로 제공되는 Microsoft 정기 보안 업데이트 패치를 모두 설치하셔야 합니다.

      2. Adobe Flash Player 프로그램은 어느 PC에서나 설치되어 있으므로, 이 프로그램은 항상 최신 버전을 유지해야 합니다.

      그러지 않은 상태로 인터넷 웹 사이트에 접속하는 과정에서 이런 온라인 게임핵 악성 파일이 자동으로 감염될 수 있습니다.

      3. Oracle Java 프로그램이 설치되어 있는 경우에도 Flash와 마찬가지로 자동 감염을 시킬 수 있으므로, 사용하지 않는다면 삭제하시고 필요한 경우에는 항상 최신 버전을 설치하시기 바랍니다.

      기본적으로 온라인 게임핵 악성 파일은 사용자가 보안 패치(업데이트)를 제대로 하지 않고 구버전의 프로그램을 설치한 상태로 인터넷 웹 사이트에 접속하는 과정에서 자동으로 감염되는게 현실입니다.

      또한 일부 광고 프로그램이 설치되어 있는 경우 해당 광고 프로그램이 해킹 당해서 악성 파일을 설치할 수 있으므로 광고 프로그램이 존재할 경우 모두 삭제하시고 깨끗한 환경에서 PC를 이용하시기 바랍니다.

      그 외에도 보안을 위해서는 Adobe Reader 최신 버전 사용, HWP 한글 워드 프로그램(최신 업데이트 적용)을 이용하시는 것이 안전합니다.

      요즘은 워낙 취약점을 이용한 감염 방식을 통해 그냥 웹 사이트 접속 행위(언론사, 커뮤니티 등)만으로도 자동으로 감염이 발생하며, 감염시 백신 프로그램에서 차단을 못하면 그 백신은 정상 기능을 수행하지 못할 확률이 매우 높습니다.

      그러므로 항상 자신의 PC에 설치된 프로그램은 업데이트를 체크하여 최신 버전을 사용하는 습관과 이상한 프로그램들이 설치되어 이런 악성 파일이 설치되는 통로로 이용되지 않도록 해야합니다.

    • 미치겠다요 2013.02.17 17:24 댓글주소 수정/삭제

      답변 감사합니다 . 알려주신대로 해봤습니다. MS 업데이트는 더 할게 없어보이고 adobe는 최신 버전을 받아서 깔았습니다. 자바는 안쓰고있구요. 프로그램 추가 제가에서 불필요한 파일은 주기적으로 점검하고 있습니다. 일단은 바이러스가 다시 침입하나 지켜봐야겠네요 ㅠ 또 증상이 나타나면 ..하ㅠㅠ

  • 흐미 2013.03.12 21:31 댓글주소 수정/삭제 댓글쓰기

    포맷하면 바이러스가사라지나요?

  • 하핫 2013.03.17 05:34 댓글주소 수정/삭제 댓글쓰기

    정말 감사합니다. 이거 때문에 아주 고생중이었는데...

    이놈 정말 독하네요 ㅡㅡ;; 국내에서 사용하는 모든 백신에 대해

    공격성을 가지고 있다니.. 그래도 이렇게 수동으로 처리하는

    방법을 알려주시니 포멧이란 최후의 수단을 쓰지 않고 처리했네요.

    v3라이트 경우에는 아예 설치가 안되고 알약은 업데이트가 안되고;;

    구글 크롬까지 막는 바이러스였습니다. 덕분에 구글 크롬 설치하면서

    이녀석의 존재를 알았지만요. v3라이트 뉴버전은 이녀석을 위험요소로

    파악하긴하는데 바이러스인지는 미확실로 처리하고... 업데이트가 안되니

    치료를 못하더군요. 아무튼 정말 감사합니다.

  • 하핫 2013.03.17 05:54 댓글주소 수정/삭제 댓글쓰기

    이런면에서 어드벤스드 시스템케어는 참 좋은 프로그램입니다...

    두대의 컴퓨터중 어드벤스드 설치된 컴퓨터는 멀정했거든요.

    동일한 작업을 하는 컴퓨터인데도 말이죠.

  • 윈도우10 으로 업그레이드해서 사용중인데 프로그램아이콘 아래 우측에 방어막그려져있는 프로그램실행하면 -1073~~ 오류가 떠요ㅠㅠ 어떻게하나요??

    • 현재 Windows 10 운영 체제를 사용하지 않는 관계로 답변이 어렵습니다.

      그리고 초기 윈도우 버전의 경우 오류가 일부 발생하는 것으로 보이므로 차후 업데이트 패치를 통해 문제 해결이 이루어질 것으로 판단됩니다.

  • 네넨 2015.10.03 22:48 댓글주소 수정/삭제 댓글쓰기

    벌새님 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_
    CLEARFILTER" 가 안보이는데 어떻게 해야 할까요..
    찾기에서 CLEARFILTER가 데이터 sc delete "ClearFilter"\1
    으로 찾아지던데 이건 소용이 없나요?

    • 여기에서 언급한 악성 파일은 3년전이라서 최근에 유포된 경우와는 일부 값이 다를 수 있습니다.

    • 네넨 2015.10.05 03:32 댓글주소 수정/삭제

      빠른 댓글 감사합니다 :)

      이것도 08년 이랑 12년 이라고 적혀 있었어요..
      그런데 위의 파일은 없었습니다.

      벌새님.. 그렇다면 제가 저것을 없애려면 어떻게 해야 할까요..?

    • MZK 도구(http://cafe.naver.com/malzero/94376)를 이용하여 검사를 해보시기 바랍니다.