1. 개 요
최근 악성코드로 인해 thenewspedia.com, bizromour.com, mainstories.com, cultarts.com 등의 사이트가 나타나는 현상이 있어 해당 증상에 대한 조치가이드를 작성합니다.


2. 증 상
컴퓨터 부팅 후 아래와 같은 주소의 웹페이지로 연결이 되거나 웹서핑 도중 아래의 사이트로 연결이 되는 현상이 나타납니다.




3. 조치 방법
1) [시작] - [실행] 을 선택하여 실행창에 [regedit] 입력 후 [확인] 버튼을 누릅니다.



2) 레지스트리 편집기가 실행이 되면 아래 경로를 찾아 이동합니다.
HKEY_LOCAL_MACHINE\
                         SOFTWARE\
                                    Microsoft\
                                           Windows NT\
                                                       CurrentVersion\
                                                                          Winlogon



3) Winlogon 이하에 Taskman 이라는 값을 확인 후 해당 값에 쓰여진 경로를 기억합니다. 대부분 C:\RECYCLER 경로 이하의 폴더가 기록되어 있습니다. 그리고 해당 Taskman 값을 선택하여 마우스 오른클릭 후 삭제를 합니다.



4) Ice Sword 툴을 다운로드 합니다. 프로그램은 아래 주소에서 다운로드 하실 수 있습니다.
다운로드 : http://asec001.v3webhard.com/IceSword.zip


5) Ice Sword를 실행하여 [File] 탭으로 이동합니다.



6) File 탭에서 이전에 이전에 레지스트리 편집기에서 Taskman 값에 기록된 경로로 이동합니다.
예) C:\RECYCLER\S-1-5-21-1202660629-1214440339-725345543-1003


7) 해당 경로로 이동하여 nissan.exe 파일을 찾아 마우스 오른 클릭 후 [force delete]를 선택하여 삭제합니다.


8) 해당 바이러스는 이동형 USB 디스크 장치를 통해 전파되는 Autorun 계열 악성코드 이므로 http://core.ahnlab.com/43 글을 참고하여 재감염을 예방하시기 바랍니다.

9) 마지막으로 컴퓨터를 재부팅 합니다.


Posted by 비회원