최근 DHL메일을 가장한 스팸메일이 지속적으로 유포되고 있습니다. 이 스팸메일에는 DHL로 시작하는 악성파일이 첨부되어 있으며 주로 문서파일 아이콘으로 보여 사용자를 속이고 실행시키도록 유도를 합니다.

자세한 내용은 "악성 스팸 경고" 카테고리에 관련 글들이 많으니 참조해 주세요.

Internet Security 2010 은 다른 FakeAV와 유사한 동작을 하는데 한가지 특이점이 있어 알려드리겠습니다.

< Fig 2. Internet Security 2010 >

생성되는 악성파일 중 C:\winodows\system32\helper32.dll 파일을 삭제한 후 레지스트리 값을 수정하지 않았을 경우 아래와 같이 인터넷 페이지 오류가 발생하게 됩니다.


< Fig 2. 인터넷 페이지 오류 >

Internet Security 2010은 Fig 3.의 정상 레지스트리 값을 Fig 4. 의 레지스트리 값으로 변경하기 때문에 네트워크와 관련된 응용프로그램에서도 오류가 발생하게 됩니다.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001 <-- 키


PackedCatalogItem <-- 이름

C:\WINDOWS\system32\helper32.dll.ols\VSock ....  <-- 데이터


* 시스템에 따라 키 값이 달라 질 수 있습니다.


< Fig 3. 정상 레지스트리 값 >



< Fig 4. 변경된 레지스트리 값 >


이 경우 정상 레지스트리 값을 가져와서 변경된 레지스트리 값을 수정해 주어야 합니다. 정상적인 시스템에서의 값을 가져와도 되며, 만약 시스템 복원을 사용하는 사용자라면 Fig 5. 처럼 IceSword 툴을 이용하여 시스템 복원 폴더에서 감염되기 전의 시간대의 레지스트리 중 SYSTEM 값을 'Copy to' 옵션으로 카피를 해 둡니다.

* 정상적인 시스템에서 레지스트리 값을 가져올 수 있는 사용자는 아래 Fig 5. 과정을 생략하셔도 되겠습니다.


< Fig 5. 시스템 복원 폴더 내 정상 레지스트리 카피 >


카피 후 레지스트리 편집기를 실행시키신 후 [파일] - [하이브 로드] 옵션으로 카피를 해 두었던 SYSTEM 파일을 로드합니다.


< Fig 6. 하이브 로드 >


하이브 로드 후 Fig 7.처럼 '내보내기' 옵션으로 Catalog_Entries.reg 파일을 생성합니다.



< Fig 7. 레지스트리 값 내보내기 >


하이브 로드를 하였기 때문에 .reg 파일을 노트패드 등의 에디터로 열어보면 하이브 로드 시 입력하였던 키 이름으로 경로가 설정되어 있는 것을 확인할 수 있으며 이 경우 경로를 수정해 주어야 합니다. 

예를 들어, 필자의 경우 하이브 로드 시 'AhnLab' 이라는 키 이름을 입력하였고 따라서 이 부분을 'SYSTEM'으로 수정을 해 주어야 합니다.


< Fig 8. .reg 파일 경로 수정 >

경로 수정 작업까지 완료했다면 이제 .reg 파일을 실행하여 레지스트리 값을 정상적인 값으로 수정합니다.







 
Posted by 비회원