2003서버에 바이러스가 침입해서 OS를 제대로 사용할수 없었다.

일단 원인은 2003서버에 웹서비스를 고정IP로 돌리고 있었는데
서비스팩은 전혀 깔려있지 않았으니; 해커로 부터인지 어쨌든 당했다 ㅡ.ㅡ;

서비스팩만 깔려있었음 이미 오~래 전에 패치가 된 상황이었는데;;

문제
증상은 이러했다.
OS가 부팅되고 몇분 안에 꺼져버린다 ㅡ.ㅡ;
그외에도 몇가지 증상이 있었고.. 또한 그 PC뿐 아니라 내꺼도 바이러스가 몇개 있어서
V3 Neo를 CD로 구워 안전모드로 들어가서 치료를 했다.
개인용 PC는 Neo로 아주 훌륭히 해결이 되었고.

2003서버는 서버 제품이므로 네오가 돌아가지 않았다.(개인 사용자용이므로)

찾아보던중 V3사이트에 전용 백신 다운이 있었고 어찌 하다 그놈 이름이 sasser라는걸 알아냈고
http://kr.ahnlab.com/dwVaccineView.ahn?num=43&cPage=4
전용백신을 받아 치료하였다. 그래도 찝찝한 감이 있어
Kaspersky로 마무리!!

이번에 알게된 사실인데 윈도우 업데이트를 하면 자동으로
Microsoft® Windows® 악성 소프트웨어 제거 도구가 깔리더라..
얼마나 좋은지는 검색해보시고.. 주기적으로 업데이트가 되는듯 하다.

윈도우 업데이트! 생활화하자 ㅡ.ㅡ;
정품 인증으로 인해 업데이트를 못할시는 목록에서 (KB890830)이런 식으로 맨뒤에 나오는 코드를
ms다운로드 센터에 치면 해당 다운로드를 찾을수 있다!

파티션 매직을 사용하려다 클러스터 수가 적다는 메세지로 인해;;
사용을 못하고 GParted를 사용하려 했으나 원하는 기능(C:\ 사이즈 늘리려고..)이 잘 되지 않아.
파라곤 파티션 매니저를 깔아보았다.
트라이얼 버젼이라 사이즈를 자동으로 조절해준다는 그 중요한? 기능을 사용할수 없었기에..
구글링을 하던중~ 패치를 발견! 인스톨을 실행했다! 근데 이건 웬 다른 이름만 쫙 보이고 이상타 싶어
중간에 꺼버렸는데 ㅜ.ㅜ

문제
불행의 시작은 알약이 AutoRun바이러스를 치료해도 계속 보여주는데 부터 시작 됐다;;;
계속 나오는 메세지에 이건 안되겠다 싶어 PC도사를 켜고 검사해보니 몇개 나오더라..
치료를 해보았으나 이상한 조짐들이 계속...
익스플로러6은  실행하면 곧바로 꺼지고! AutoRun바이러스는 치료해도 계속 생기고!
결국 V3 Neo에 빛자루 까지 총 백신만 5가지정도를 돌려본거 같다. 치료를 하다보면 오토런 바이러스와
몇가지만 초기에 딱 잡고(시스템32 폴더에 있고 오토런이 주였던듯) 계속 스캔만 하길래 중간에 멈추고 치료만 한것도 있다.

이건 뭐 마냥 돌릴 수도 없고; 그렇다고 밀어버릴수도 없고 ㅡ.ㅡ;(os깐지 열흘도 안된 따끈한 시스템;;)
어쨌든 일반 우리나라 유명한 백신들은 찾기는 하나 완전히 치료를 못하더라..
빛자루는 아주 버벅거림의 극치를 달려주셨고.. 결국엔 지혼자 아주 난리를 치며;; 다른 프로그램은 사용할 수 없을 정도의
강력함?을 보여주었다 ㅡ.ㅡ;;;;;;;;;;;;;
알약은 그게 그렇게 퍼질동안 내컴에서 무얼 하고 있었던가..

검색 능력은 PC도사가 훨 좋아보였다 ㅡ.ㅡ;
아! V3 neo는 아예 잡지도 못하더이다................(전체 스캔했는데;;)

그러다 어느순간 몇일전 문득 정리한 Rootkit자료가 생각나더라!
백신이 설치되기 이전에 루트킷이 자리잡으면 백신이 잡을수 없거나 아예 검색도 못한다하는 무서운 ㄷㄷㄷ

그리하여 Rootkit엔진을 사용해보기로 한다.(내가 정리해논 자료 참고할것 http://cafe.naver.com/bit1004/546)
우선 영~ 시답잖은 빛자루를 삭제할려고 해도 안되서(이전에도 v3 2007이 자꼬 버벅거리는 문제를 발생시켜 -종료도 안되고-
안전모드에서 삭제한적이 있다.) 안전모드로 들어가서 빛자루를 삭제하고!
루트킷 프로그램들을 설치하려고 했는데.. 다들 안전모드에선 실행이 제대로 안되더라.
그러다 찾은 것이 F-Secure 사이트의 온라인 스캔이니
http://support.f-secure.com/enu/home/ols.shtml

검색은 당연하고 치료까지 완벽하게 해주더라! 엑티브엑스기반이라 안전모드든 어디든 상관없이
웹에서 엑티브엑스만 깔고 치료하시면 되겠다. 치료한 후에는 레포트까지 보여주더라!
근데 점 느린감이 없지 않다. 엔진 자체가 몇가지를 섞은거라고 하니.. ^^
어쨌든 지겨운 루트킷!(아직 이름을 모름;;) 잡아냈다! 휴;;;

근데 빛자루를 다시 깔아봤는데 너무 버벅거린다... 뭐지;;; 아바스트나 써야겠다 ㅡ.ㅡ;

첨부로! 치료된 목록 레포트이다

아! 중요한!! 원인이 되었던 파일의 링크이다!!!
http://qazplayer.com/download/Paragon.Partition.Manager.9.0.Professional.PATCH.c3220.exe
절대 받지마라!! 알약이 치료해달라고 계속 메세지 보여주고~ 빛자루는 OS를 지꺼마냥 암꺼도 못하게 해주시고~
아주 백신들이 춤추는걸 볼수 있을꺼다 ㅡ.ㅡ;
젤 중요한건! 지금 이글을 쓰는순간 테스트로 링크를 받아볼려고 했드니!
avast가 트로이 목마이니 절대 받지말라는 뿌듯한 메세지를 띄워주신다 ㅎㅎㅎ
므흣~


<title>F-Secure Online Scanner 3.3.1 - Scanning Report - Monday, November 10, 2008 12:56:34</title>

Scanning Report

Monday, November 10, 2008 10:55:45 - 12:56:33

Computer name: GSC-EEE035050C4
Scanning type: Scan target for malware, rootkits
Target: D:\

---

Result: 10 malware found

Stealth_file (hidden item)

• C:\WINDOWS\SYSTEM32\KDHBB.EXE (Submitted)

TrackingCookie.2o7 (spyware)

• System

Trojan.Win32.Agent (virus)

• System

Trojan.Win32.Small (virus)

• System

W32/Packed_Bero.C (virus)

• D:\PORTABLE\DEV\PEID V0.94\PLUGINS\IDTOTEXT.DLL (Submitted)

W32/Packed_Bero.D (virus)

• D:\PORTABLE\DEV\PEID V0.94\PLUGINS\ADDSIG.DLL (Submitted)
• D:\PORTABLE\DEV\PEID V0.94\PLUGINS\XINFO.DLL (Submitted)

W32/Packed_FSG.D (virus)

• D:\PORTABLE\OFFICE\ABVIEWER_PRO_5.11.105-ij?庤?BVIEWER.EXE (Submitted)

Worm.Win32.AutoRun (virus)

• System

Worm.Win32.AutoRun.onp (virus)

• D:\AUTORUN.INF (Renamed & Submitted)

---

Statistics

Scanned:

• Files: 49269
• System: 4147
• Not scanned: 0

Actions:

• Disinfected: 0
• Renamed: 1
• Deleted: 0
• None: 9
• Submitted: 6

Files not scanned:

---

Options

Scanning engines:

• F-Secure USS: 2.40.0
• F-Secure Hydra: 2.8.8110, 2008-11-09
• F-Secure AVP: 7.0.171, 2008-11-09
• F-Secure Pegasus: 1.20.0, 2008-09-22
• F-Secure Blacklight: 2.4.1093

Scanning options:

• Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX ANI AVB BAT CMD JPG LSP MAP MHT MIF PHP POT SWF WMF NWS TAR
• Use Advanced heuristics

---

Copyright © 1998-2007 Product support |Send virus sample to F-Secure

F-Secure assumes no responsibility for material created or published by third parties that F-Secure World Wide Web pages have a link to. Unless you have clearly stated otherwise, by submitting material to any of our servers, for example by E-mail or via our F-Secure's CGI E-mail, you agree that the material you make available may be published in the F-Secure World Wide Pages or hard-copy publications. You will reach F-Secure public web site by clicking on underlined links. While doing this, your access will be logged to our private access statistics with your domain name.This information will not be given to any third party. You agree not to take action against us in relation to material that you submit. Unless you have clearly stated otherwise, by submitting material you warrant that F-Secure may incorporate any concepts described in it in the F-Secure products/publications without liability.

NTDLL.DLL 파일 에러 해결책?

1. 요약 : 윈도우의 정식 프로세스, NT Layer의 기능을 담당한다.

  - 정상적인 위치 : %System%ntdll.dll (잠깐! %System% 이란? -> 클릭)

2. 문제를 일으키는 경우 해결책

2.1 (일시적 문제) 임시 인터넷 파일과 윈도우 임시 파일을 삭제한다.  

 - 임시파일 삭제 : 시작 -> 실행 -> %temp% -> Ctrl + A -> Del -> 엔터

 - 임시 인터넷 파일 삭제 : IE 실행 -> 도구 -> 인터넷 옵션 -> (일반)탭에서

                          "파일삭제", "오프라인 항목들 모두 삭제" <--- 반드시 체크

 - [내컴퓨터] -> C: -> Windows -> Temp -> Ctrl + A -> Del -> 엔터

2.2  Ntdll.dll 버퍼 오버플로우 보안 취약점 MS03-007, MS03-026 취약점 확인하기

  해당 취약점이 존재할 경우, 악의적인 사용자에 의해 임의 코드가 수행되거나

  권한 상승을 이용 시스템의 권한을 장악할 수 있다. 따라서, 문제가 발생할 수도 있으므로

  반드시 해당 패치 설치 여부를 확인하는 것이 좋다.

  - MS03-007 상세정보 및 패치 다운로드 : [클릭]

  - MS03-026 상세정보 및 패치 다운로드 : [클릭]

2.3 바이러스나 기타 악성코드와 Ntdll.dll

   ntdll.dll 파일은 해커와 각종 악성코드(바이러스, 웜 등)의 주요 먹이감이며 따라서

   해당 파일을 생성하거나 문제를 일으키는 악성코드가 많이 보고되어 있다.

  예) ntdll.dll 파일에 문제를 일으키거나 생성해내는 악성코드의 종류

     W64.Rugrat.3344, W32.Kelvir.AI, Win32.Agobot.AQW, Win32.NerdBot Family

     Win32.Berkor.A, W32.Toxbot, Win32.Rbot, W32/Nachi.worm,

     Backdoor.HackDefender 등

   이 경우는 파일 찾기 기능을 이용해서, ntdll.dll이 존재하고 있는 위치와

   크기, 변경 날짜 등을 확인해보는 것이 중요하다. 이 파일은 윈도우의 주요 시스템 파일로

   쉽게 변경 날짜가 변경되지 않는다. 따라서, 변경된 날짜가 최근이거나

   존재하고 있는 위치가 정상 위치가 아니라면 바이러스나 기타 악성코드에 감염되었다고

   봐도 좋다. 이 경우 인터넷 연결을 차단하고 시스템 복원 기능을 중지시킨 다음

   모든 파일에 대한 바이러스 및 기타 악성코드에 대한 검사가 진행되어야 한다.

   찾기 기능을 이용, 파일을 찾은 후, 오른쪽 마우스 -> [속성]에서 파일 버전, 제조사 등도

   확인해 보기 바란다.

IFinst27.exe  짜증나.. ㅡ.ㅡ;

IFinst27.exe 의 정체 바이러스

IFinst27.exe ??? 분석

디버깅 작업을 하고 있는데 imgsf01.dll가 vs6에서

자꾸 Access Violation 에러가 난다!

 

시스템 파일도 아닌것이 뭐때문인가 함 찾아봤다!

 

인터넷 인증관련 작업할때 생기는거였다!

Markany라는 회사껀데

JXMail뭐시긴가 하는거 깔면 따라오는거 같기도 하고..

어쨌든! 그래서 컴터에 인증관련 프로그램들 다지우고

이상한 시작프로그램 다 지우고!

Ax다 지웠다!

 

그리고 리부팅 하니

///////////////////////////////////////////////////////////////////////////

인터넷 실행 시

 

image safer

새로운 모듈을 찾을 수 없습니다

V3못쓰겠다 ㅡ.ㅡ;
나랑 안맞나보다; V3 2007만 깔면 초기에 부팅할때 15분이 넘어가네.. ㅡ.ㅡ;;
이유는 못찾았고 V3때문인건 맞더라.. 이문제랑은 다른 얘기지만 ㅋ

해결방법
http://csagent.ahnlab.com/csagent/jsp/FAQ/customer/customer_faq_b2c.jsp?FAQ_ID=10662&IS_NOMAL=1

네트워크 침입차단 MS06-040 Server Service Exploit가 차단되었습니다 라는
메시지가 계속 뜹니다. 
AhnLab V3 Internet Security 2007/Platinum 의 [해킹차단] 기능중 "네트워크 침입 탐지"
기능이 있습니다.

이 기능에 의해 윈도우 취약점을 이용하여 공격하는 WargBot 및 IRCBot웜의
네트워크 침입을 탐지하여 차단된 것입니다.

[Win32/WargBot.worm.9609 정보 페이지로 바로가기]

해당 공격 자체를 없도록 사용자가 조치하시기는 어렵습니다. 광범위한 인터넷
환경에서의 해당 취약점을 이용한 공격은 다발적으로 발생할 수 있기 때문에
일일이 공격자를 찾아 사용자가 조치한다는 것은 불가능합니다. 하오니
[네트워크 침입차단]에 의해 차단된 것에 안심하시고 이용하여 주시면 되겠습니다.

해당 서버 서비스의 취약점으로 인한 원격 코드 실행 문제점(MS06-040)에
대한 보안 패치 적용 여부와 상관없이 해당 공격은 [네트워크 침입차단]에서
차단이 가능합니다만, WargBot 및 IRCBot 웜 등의 비정상적인 공격에 대해
탐지하여 차단하는 것으로 해당 취약점을 악용하여 정상적인 접근으로
가장하여 공격 시도 가능성도 있기 때문에 아래 해당 취약점 패치를 반드시
적용하실 것을 권해드립니다.

참고로, 다음과 같이 패치 적용 여부를 확인하실 수 있습니다.

1. [시작]-[설정]-[제어판]-[프로그램 추가/제거]를 선택합니다.
2. 설치된 목록에 "MS Hotfix KB921883"이 있는지 확인합니다.
3. 만약 설치되어 있지 않다면 MS06-040 보안 취약점에 대한 보안패치를 적용합니다.

만약, 해당 패치파일이 적용되어 있지 않은 상태라면, 아래의 방법으로 윈도우
중요 업데이트를 모두 확인하여 적용해 주시길 바랍니다.

[패치 설치 방법]

1) 아래의 URL을 통해 사용하시는 윈도우에 맞는 보안패치 (MS06-040)를 다운로드
받아 설치합니다.[필수]

-MS06-040 취약점 관련 페이지로 바로가기

2) 시스템을 재부팅합니다.

3) [인터넷 익스플로러 실행]-[도구]-[Windows Update]-[업데이트 검색]-
[업데이트 검토 및 설치]-[지금 설치]를 통해 MS사의 모든 권장 보안패치를
설치합니다.[필수]

위와같이 패치파일을 받으신 상태이시더라도 해당 알림창 때문에 불편함을
느끼신다면, AhnLab V3 Internet Security 2007/Platinum을 실행하여 상단의
[환경설정]-[알림 설정]의 "일림설정"의 "사용자지정"을 선택해 [해킹차단]부분에서
 "네트워크 침입을 탐지했을 때 알림"을 해제하시길 권하여 드립니다.

위와 같이 설정하시면, 네트워크 침입은 차단되더라도 해당 알림창이
 띄워지지 않을 것입니다. 다만, 위와같이 설정한 경우 해킹툴에 의한
실제적인 네트워크 침입부분도 모르실 수 있으니 프로그램의
[해킹차단]-[로그보기]에서 네트워크 침입정보를 일정간격으로
확인하여 주시길 바랍니다.