최근, Windows 기반의 운영체제에서 필리핀 도메인 (.ph) 에 접속하면, vbs 스크립트, 쉽게말해 바이러스가 다운로드 받아져,
그 컴퓨터는 물론 연결된 모든 컴퓨터와 플래쉬 드라이브, USB 대용량 저장소, 심지어는 CD 안에까지 침투하여 감염시키는
짜증나는 바이러스를 탐지해냇습니다. 다음은 감염된 USB 대용량 저장소에서 발견한 Autorun.inf 의 내용입니다.
[autorun]
open=wscript.exe ntidr.vbs
shell\Open\Command=wscript.exe ntidr.vbs
shell\Open\Default=1
shell\AutoPlay\Command=wscript.exe ntidr.vbs
shell\Explore\Command=wscript.exe ntidr.vbs
open=wscript.exe ntidr.vbs
shell\Open\Command=wscript.exe ntidr.vbs
shell\Open\Default=1
shell\AutoPlay\Command=wscript.exe ntidr.vbs
shell\Explore\Command=wscript.exe ntidr.vbs
ntdir.vbs 는 VBSLite1.0 으로 컴파일 되었으며, 데이타 저장소마다 RECYCLE.BIN 과 RECYCLE 이란 숨겨진 폴더를 생성, 휴지통
에 버려지는 모든 파일의 경로 밑 쉘 클래스 정보를 저장합니다.
스크린샷 - 우분투에서 감염된 USB 플래쉬 드라이브를 읽었을때
RECYCLE 폴더 안에 존재하는 desktop.ini 의 소스 중 일부입니다.
[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}
CLSID={645FF040-5081-101B-9F08-00AA002F954E}
다음은 ntdir.vbs 를 우분투에서 gedit 으로 불러온 내용중 일부분 입니다.
This File is Support to your Computers, Help to Protect your Flash Drives, Memory Cards, Hard Drives, Please dont erase it.. This is a Good Virus.. All Bad Virus cannot disable your Task Manager, Regestry, Hidden File, Folder Option... You can Visit our site www.radzservices.blogspot.com or Call/Text 0910-217-4146. The Antivirus Software is Coming.. Made in General Santos City. Partners with: Google.com, Gmail.com, KCC Mall of Gensan, Radz Services and Internet Cafe, FujiFilm, Gaisano, Robinson Mall, SM Mall, NCCC, Fit Mart, Rhine Marketing, Radz Group of Company, RD Group of Company, ACLC, STI, Hi-tech Institute, RMMC, NDDU, HTC, GFI, GoldenState, Electroworld, Octagon, Dwinar, ABS-CBN Gensan, GMA Gensan, Perfect Image, Perfecom, Dalton Pawnshop, Western Union Money Transfer, Petron, Shell, Caltext, Flying V, YBL, LTO, DTI, DOH, NTC, AFP, GTF, and DOLE. Visit the City of General Santos the Tuna Capital of the Philippines.. Event Pasko sa Gensan, Yaman Gensan, Kalilangan, Tuna Fistival, and many mores.. For Good Picture Services Visit All Perfect Image Photo Lab and JR Photo Lab In your Area, Specialy here in General Santos City. For your Advertisements Call or Text the Programer of Anti-Virus here in Gensan. Thank you for Using our Anti-Virus Version 0.0.1.99. NOTE: If your Flash Drive Cannot Remove.. Go to Task Manager.. And Then End Process the wscript program.. Call or Text 0910-217-4146
다음 문구를 통하여, 이 바이러스의 제작자는 필리핀에 거주하는것을 알 수 있습니다. 또한, 이 바이러스 자체가,
어떠한 드라이브던지 모두 감염시켜 좋은 바이러스라고 하고 있습니다.
voda.vbs 도 역시 VBSLite1.0 으로 컴파일 되었으며, 인터넷 익스플로러 창에 Taga AUP Ako -- v~o~d~a~ 를 출력하고, 아무
커맨드 없이도 항상 전체화면 (F11) 로 바뀌게 합니다.
두 개의 스크립트는 안티바이러스 소프트웨어의 의해서 쉽게 치료가 되지만, 플래쉬 드라이브나 CD 에 있는 바이러스는
다른 운영체제를 사용하는 컴퓨터에서 불러온 뒤에, 파일을 삭제하면 치료가 완료되는것으로 실험상 밝혀내었습니다.
단순 추측으로, .ph 의 도메인을 사용하는 웹페이지로 한정하였으나, 이 바이러스의 정확한 감염 경로는 아직 밝혀내지 못하였습니다. 본 바이러스의 대해 자세히 아시는 분이 있다면, 댓글로 내용을 추가해주시기 바랍니다.
'컴퓨터' 카테고리의 다른 글
| DDoS 공격 대처 및 방어 (0) | 2009.04.13 |
|---|---|
| DRDOS 란? (0) | 2009.04.07 |
| DDOS / DOS 의 대한 이해 (1) | 2009.04.07 |