본문 바로가기

조치 가이드

네트워크 트래픽 유발 Win32/Palevo.worm 조치가이드

1. 개 요
Win32/Palevo.worm(원본파일명 ; sysdate.exe) 악성코드 관련하여 UDP/5907, UDP/80 등 다수 트래픽을 유발하는 현상이 발생하여 긴급 조치를 위한 가이드를 작성/배포합니다.

[그림 1. 관련 트래픽 차단 현황]


2. 주요 증상
주요증상은 다음과 같습니다.
1) 시스템 루트\RECYCLER\s-1-5-21-[숫자]에 sysdate.exe, Desktop.ini 파일을 생성.

2) 레지스트리 추가를 통해 시작프로그램에 등록.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman
"C:\RECYCLER\S-1-5-21-[숫자]\sysdate.exe"

HKEY_USERS\S-1-5-21-[숫자]\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\shell explorer.exe,C:\RECYCLER\S-1-5-21-[숫자]\sysdate.exe

3) 외부 사이트 접속시도
b***erfly.***Money.biz  9*.9.1*0.**3
bu****fly.s***p.es  8*.1*6.1**.7*
q***asdfg.sinip.es 7*.2**.1*2.1*2
unk****.w*  7*.*0.2*.1**


3. 증상 발생 시 조치방법
1) 긴급 수동조치
 추가 감염을 예방하기 위해 시스템루트\RECYCLER 폴더 이하에 생성된 sysdate.exe 파일을 삭제 합니다. 삭제하는 방법은 아래와 같습니다.

먼저 Ice Sword 툴을 다운로드 합니다. 프로그램은 아래 주소에서 다운로드 하실 수 있습니다.
다운로드 : http://asec001.v3webhard.com/IceSword.zip

다운로드 받은 프로그램을 실행하면 위와 같은 프로그램이 실행이 됩니다. 이제 해당 파일을 삭제하기 위해 File 탭으로 이동을 합니다.

[그림2 Ice Sword 실행화면]


이동 후 생성되었던 RECYCLER\s-1-5-21-[숫자] 경로로 이동 합니다.

[그림 3 RECYCLER 폴더 찾기]

이동 후 생성되었던 sysdate.exe 파일을 찾아 선택 후 마우스 오른 클릭을 하여 [force delete]를 선택하여 삭제하도록 합니다.
 
[그림 4 삭제하기]


그리고 레지스트리에 추가된 항목을 삭제하시기 바랍니다. 삭제방법은 다음과 같습니다. 먼저 [시작] - [실행] 으로 이동을 하여 [regedit] 입력 후 [확인] 버튼을 누릅니다.
 
[그림 5 레지스트리 편집기 실행]

실행을 하게 되면 레지스트리 편집기가 실행이 됩니다. 실행이 되면 아래 경로를 찾아 가도록 합니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
해당 경로에 있는 Taskman 이란 키값을 찾아 선택 후 마우스 오른클릭 후 삭제를 선택하면 됩니다.

[그림 6 레지스트리 키값 삭제]

그 외 위와 같은 방법으로 아래 경로로 찾아가 [shell] 값을 삭제하여 주시기 바랍니다.
HKEY_USERS\S-1-5-21-[숫자]\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

마지막으로 위에 알려드린 모든 작업을 완료하셨다면 시스템을 재부팅을 하시기 바랍니다.


2) 백신 사용 및 최신엔진 업데이트(실시간 감시 사용)
 V3(V3 IS, V3 365, V3 Lite 및 V3 Net for Server 제품군)에서는 2009.09.22.04 엔진에서부터 다음과 같이 진단 및 치료 가능( V3 진단명 : Win32/Palevo.worm.116224.D)



  • akwkek11 2010.02.26 12:01 댓글주소 수정/삭제 댓글쓰기

    퍼 가겠습니다.

    좋은 정보 감사합니다.

  • chang144 2010.03.11 20:25 댓글주소 수정/삭제 댓글쓰기

    부팅할때 블루스크린 뜨면 서 0x000000050 이 떠서요.. 확인해보니까 amonhknt.sys 에 문제가 있더군요,..
    그래서 하드디스크를 제거하고 다른컴에 연결해서 해당파일 삭제후 부팅했고 위에서 설명한대로 조치를 취했으나 ... v3 8.0 재설치후에 동일 증상이 발생합니다. 해결방법좀 알려주십시요.. 한두대도 아니고
    v3 를 사용하지 말라는건지... 해결방법좀 조속히 알려주시면 감사하겠습니다. 제이메일 주소는
    chang144@nate.com 입니다..