1. 개 요
Win32/Palevo.worm(원본파일명 ; sysdate.exe) 악성코드 관련하여 UDP/5907, UDP/80 등 다수 트래픽을 유발하는 현상이 발생하여 긴급 조치를 위한 가이드를 작성/배포합니다.

[그림 1. 관련 트래픽 차단 현황]


2. 주요 증상
주요증상은 다음과 같습니다.
1) 시스템 루트\RECYCLER\s-1-5-21-[숫자]에 sysdate.exe, Desktop.ini 파일을 생성.

2) 레지스트리 추가를 통해 시작프로그램에 등록.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman
"C:\RECYCLER\S-1-5-21-[숫자]\sysdate.exe"

HKEY_USERS\S-1-5-21-[숫자]\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\shell explorer.exe,C:\RECYCLER\S-1-5-21-[숫자]\sysdate.exe

3) 외부 사이트 접속시도
b***erfly.***Money.biz  9*.9.1*0.**3
bu****fly.s***p.es  8*.1*6.1**.7*
q***asdfg.sinip.es 7*.2**.1*2.1*2
unk****.w*  7*.*0.2*.1**


3. 증상 발생 시 조치방법
1) 긴급 수동조치
 추가 감염을 예방하기 위해 시스템루트\RECYCLER 폴더 이하에 생성된 sysdate.exe 파일을 삭제 합니다. 삭제하는 방법은 아래와 같습니다.

먼저 Ice Sword 툴을 다운로드 합니다. 프로그램은 아래 주소에서 다운로드 하실 수 있습니다.
다운로드 : http://asec001.v3webhard.com/IceSword.zip

다운로드 받은 프로그램을 실행하면 위와 같은 프로그램이 실행이 됩니다. 이제 해당 파일을 삭제하기 위해 File 탭으로 이동을 합니다.

[그림2 Ice Sword 실행화면]


이동 후 생성되었던 RECYCLER\s-1-5-21-[숫자] 경로로 이동 합니다.

[그림 3 RECYCLER 폴더 찾기]

이동 후 생성되었던 sysdate.exe 파일을 찾아 선택 후 마우스 오른 클릭을 하여 [force delete]를 선택하여 삭제하도록 합니다.
 
[그림 4 삭제하기]


그리고 레지스트리에 추가된 항목을 삭제하시기 바랍니다. 삭제방법은 다음과 같습니다. 먼저 [시작] - [실행] 으로 이동을 하여 [regedit] 입력 후 [확인] 버튼을 누릅니다.
 
[그림 5 레지스트리 편집기 실행]

실행을 하게 되면 레지스트리 편집기가 실행이 됩니다. 실행이 되면 아래 경로를 찾아 가도록 합니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
해당 경로에 있는 Taskman 이란 키값을 찾아 선택 후 마우스 오른클릭 후 삭제를 선택하면 됩니다.

[그림 6 레지스트리 키값 삭제]

그 외 위와 같은 방법으로 아래 경로로 찾아가 [shell] 값을 삭제하여 주시기 바랍니다.
HKEY_USERS\S-1-5-21-[숫자]\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

마지막으로 위에 알려드린 모든 작업을 완료하셨다면 시스템을 재부팅을 하시기 바랍니다.


2) 백신 사용 및 최신엔진 업데이트(실시간 감시 사용)
 V3(V3 IS, V3 365, V3 Lite 및 V3 Net for Server 제품군)에서는 2009.09.22.04 엔진에서부터 다음과 같이 진단 및 치료 가능( V3 진단명 : Win32/Palevo.worm.116224.D)



신고
Creative Commons License
Creative Commons License
Posted by 비회원