사진출처 : SSTV
전용백신 다운로드 : http://download.ahnlab.com/vaccine/v3aimbot.exe
1. 본 전용백신은 다음과 같은 악성코드만을 진단/치료 합니다.
- Win32/AimBot.worm.15872
- Win-Trojan/Agent.4096.EI
2. 전용백신 실행 전 작업중인 데이타는 반드시 저장하시고, 전용백신 이외에 다른 응용 프로그램은 반드시 종료하시기 바랍니다. 또한 전용백신의 동작중 다른 응용 프로그램의 실행은 가급적 권장 하지 않습니다. 그리고 중요한 시스템이라서 안정성이 중시되는 경우 해당 전용백신의 실행을 가급적 권장 하지 않습니다. 본 전용백신은 악성코드의 자기보호 기능을 무력화하는 과정에서 일부 시스템에서는 예상하지 못한 문제가 발생 할 수도 있습니다.
3. 본 전용백신은 악성코드의 자기보호 기능을 무력화 하기 위해서 일련의 작업을 합니다. 이 과정에서 시스템에 따라서 5 ~ 10 초 정도 시간이 소요 됩니다. 따라서 전용백신을 실행 후 또는 검사시작 버튼을 누른 후 또는 치료과정중 일정 시간이 소요 됩니다.
4. 본 전용백신은 다음과 같은 윈도우 OS (32Bit) 에서만 정상적으로 동작 합니다. 따라서 다음 윈도우들의 64Bit 버전에서는 정상동작 하지 않습니다.
- 윈도우 2000 (SP0 ~ SP4)
- 윈도우 XP (SP0 ~ SP3)
- 윈도우 2003 (SP1 ~ SP2, No Service Pack 은 지원 하지 않음)
- 윈도우 비스타 (SP0 ~ SP1)
5. 전용백신은 반드시 "관리자 권한" 으로 실행 되어야 합니다.
6. 작업이 끝나면 팝업 메뉴에 따라 반드시 시스템을 재부팅 해주시길 바랍니다.
- 전용백신은 본 악성코드를 진단 / 치료하는 기능만 제공되며 예방하는 기능은 제공되지 않습니다.
※ 위 방법은 백신을 통한 자동치료 방법입니다.
--------------------------------------------------------------------------------------------
2월 9일부터 PC 시간을 2090년 1월 1일로 강제 변경하는 특징을 가진 V.WOM.Aimbot.CC가 확산되고 있습니다.
V.WOM.Aimbot.CC는 IRC(인터넷 릴레이 채팅) 서버를 통해서 전달되는 명령에 따라 악의적인 동작을 수행하므로 PC 사용자의 예방 조치를 필수적으로 시행하여야 합니다. 현재 알약에서는 오늘까지 발견된 2090 악성코드 및 변종에 대해 탐지 및 치료가 가능합니다.
- 감염 증상
1. 2090년 1월 1일 오전 10시로 변경시킵니다.
2. 레지스트리에 자기 자신을 등록하여 부팅 후에도 우선순위로 실행하도록 설정합니다.
3. 특정 IRC 서버의 접속을 시도합니다.
4. IRC 명령을 받아 ICMP 공격을 실행합니다.
5. 메모리 리소스를 과도하게 사용하여 시스템 속도 저하 및 다운 현상이 발생합니다.
- 치료 방법
1. 현재 알약에서는 V.WOM.Aimbot.CC에 대한 진단 및 치료가 가능합니다.
2. 최신의 알약 악성코드 DB로 업데이트하시고, 실시간 감시를 꼭 활성화 시켜주십시오.
해당 악성코드의 변종 발생 가능성이 높으므로, 알약으로 치료해도 같은 증상이 반복해서 나타나는 경우 알약의 신고하기 메뉴를 통해 혹은 알약 고객센터를 통해 신고를 부탁드립니다.
- 예방 방법
1. 마이크로소프트의 최신 윈도우 보안 패치들을 설치합니다.
2. 알약의 DB를 최신버전으로 업데이트하시기 바랍니다.
3. 알약의 실시간 감시를 활성화 시킵니다.
4. USB 자동실행(Autorun)을 통한 감염을 막기위해 USB 자동실행을 차단합니다. USB자동실행차단 툴은 아래의 링크를 클릭하여 다운로드 받으시기 바랍니다.
> USB 자동실행 차단 툴 다운로드
- 기타 추가 조치사항
기업의 네트워크나 보안 관리자께서는 방화벽이나 IPS에서 61.193.240.* 대역의 TCP 81번 포트 접속을 차단시킵니다. 또한, 추가 변종이 나타날 경우를 대비하여 TCP 445, TCP/UDP 6665~6669번 포트 차단을 권장합니다.
출처 : http://alyac.altools.co.kr/main/Person.aspx
--------------------------------------------------------------------------------------------
증상
1. 컴퓨터 날짜가 2090년 1월 1일로 고정되어 있는데 수은전지 방전과는 또다른 증상을 보인다고 한다. 2. 컴퓨터를 부팅 시키면 무한 로그인 로그오프(윈도우계정) 현상이 일어난다고 한다.
3.간혈적으로 윈도우 경고음이 나온다고 한다.
4. 드라이브(root)\windows\system32 폴더 아래에 숫자로만 이루어져 있는 폴더들이 있다고 한다.
- 날짜가 2090년 1월 1일로 변경되는 현상
- PC속도가 현저히 느려짐
- 무한 로그인 증상 발생
수동 해결방법
1. Process Explorer, Autoruns, Trojan Remover, IceSword, XP SP3 설치파일 다운로드
procexp.exe
Autoruns.zip2. Trojan Remover 설치 후 업데이트 (랜선을 뽑아야 함으로 미리 업데이트)
3. Trojan Remover 종료
4. 랜선 제거
5. Process Explorer 실행
6. 윈도우 기본 프로그램 제외하고 실행되어 있는 프로세스 종료
7. Process Explorer 종료
8. Autoruns 실행
9. [Logon] 텝의 c:\windows\system32\system.exe 체크해제
10. [Drivers] 텝의 NvCplDeamon 체크해제
11. Autoruns 종료
12. 시작 > 실행 > %temp% 폴더 속의 파일 삭제
13. C:\windows\temp 폴더 속의 파일 삭제
14. 제어판 > Windows 방화벽 실행 > [예외] 텝으로 이동
15. NvCplDeamon 체크 해제
16. Windows 방화벽 종료
17. Trojan Remover 실행
18. SCAN 시작
19. 발견되는 파일 rename 선택 후 ok 클릭 (파일이름 적어 놓을 것)
20. Trojan Remover 종료
21. 시작 > 실행 > regedit 확인
22. Ctrl+F > mscpco.exe 찾기 후 키값 삭제
23. Ctrl+F > mscpcosd 찾기 후 키값 경로 확인 (regedit에서 삭제 불가)
24. IceSword 실행
25. 왼쪽 하단에 Registry 클릭 후 mscpcosd 키값 경로를 찾아가서 키값 삭제
26. regedit 종료
27. IceSword 종료
28. c:\windows\systme32\ 이름으로 정렬 후 숫자로 된 파일 삭제
29. 시스템 다시 시작
30. Trojan Remover 검색 후 치료 (안 나올때까지 검사, 재기동 반복)
31. Trojan Remover 종료
32. XP SP3 설치
33. XP SP3 완료
34. 시스템 다시 시작
35. 보안패치 최신으로 적용
위 방법은 수동해결방법입니다.
※주의 : 바이러스를 치료하기 전 xp sp3를 설치하지 마시오!
--------------------------------------------------------------------------------------------
전용백신
안철수연구소(V3)
http://kr.ahnlab.com/dwVaccineView.ahn?num=86&cPage=1
잉카인터넷(엔프로텍트)
http://www.nprotect.com/v6/data/index.php?mode=vs_down_view&no=266&page=1&key=&keyfield=
한국카스퍼스키(Kaspersky)
http://www.kaspersky.co.kr/board/bbs/board.php?bo_table=Products&wr_id=206
아래는 프로그램 업데이트로 치료된다고 합니다.
알약
http://alyac.altools.co.kr/etc/Notice_Contents.aspx?idx=113
하우리(바이로봇)
바이러스체이서
http://www.viruschaser.com/main/customer/VCNotice_Dt.jsp?page=1&no=3423&vno=142¬iceType=A
