MoonTh

요즘 최신 유행하는 오토런 바이러스에 대한 설명이다 여기서 해답을 찾을 수 있을것 같긴 하다만 모조리 영어라 어려움이 많다. 영어 잘하는 친구는 게임에 정신이 팔렸는지 못도와주겠다는 늬앙스를 풍긴다. 누군가 자신이 있다면, 영어는 잘하는데 심심해서 할께 없다면 한번 번역을 바란다. 대충 읽어보니 이해는 조금씩 가는데 그래도 모르겠다 -_- 보면서 대충 갈겨 본다

--------------------------------------------------------------------------------------------

Method of Infection
(전염 방법)
When executed, Win32/Conficker.B drops copies of itself in the following locations:
(바이러스를 어느 위치에 떨구냐)
%Program Files%\Movie Maker\<random filename>.dll
%Program Files%\Internet Explorer\<random filename>.dll
%System%\<random filename>.dll
%Documents and Settings%\<username>\Application Data\<random filename>.dll
%Temp%\<random filename>.dll

An example random filename might be "vpsqqhaf.dll":
(예를 들면 파일 이름은 "vpsqqhaf.dll" 일 것이다???)

Note: %System%, %Program Files%, %Documents and Settings% and %Temp% are variable locations.
(위치가 바뀐다 ↑)
The malware determines the locations of these folders by querying the operating system.
(멀웨워 인지 확인하는것은 폴더 트리(하위폴더)의 위치를 보고 시스템 파일인가 봐야한다는듯..)
The default installation location for the System directory for Windows 2000 and NT is C:\Winnt\System32; for 95,98 and ME is C:\Windows\System; for XP and Vista is C:\Windows\System32. A typical location for the Program Files folder would be C:\Program Files.
(설치되는 기본 폴더)
A typical location for the Documents and Settings folder is C:\Documents and Settings. A typical path for the Temp folder is C:\Documents and Settings\<username>\Local Settings\Temp, or C:\WINDOWS\TEMP.
(전형적인 폴더)

Conficker.B drops the file "<random number>.tmp" (technically a SYS file) in the %System% directory. For example, the filename might be "04.tmp" or "06.tmp". After using the file, Conficker deletes it.
(Conficker.B 는  %System%  디렉토리에 파일을 떨구는데 "<random number>.tmp" 을 생성한다. 겉으로 보기엔 템프 파일이지만 속은 시스템 파일 속성을  가진다. 아무튼 생성하고 사용후 지운다)

Win32/Conficker.B also creates a service with the following characteristics, to automatically execute on system start:
(윈도우 서비스프로그램에 등록시키고 실행되도록 만드는것 같은데....시작프로그램도 들어가나?)

Service name: "<random filename>"
Path to executable: %System%\svchost.exe -k netsvcs
(서비스 이름과 실행 경로??)

and adds the following registry entry:
(그리고 레지스트리도 추가시킨다)
HKLM\SYSTEM\CurrentControlSet\Services\<random filename>\Parameters\ServiceDll = "%System%\<random filename>"

(글자가 깨지니 확대해서 보시오...)

It may also use a combination of the following strings as device description of the service:
(이것은 또 디바이스와 관련된 윈도우 서비스와 결합해 쓰일지도 모른다.????#$%&^!@#     ㅠㅠ)
Center
Config
Driver
Helper
Image
Installer
Manager
Microsoft
Monitor
Network
Security
Server
Shell
Support
System
Universal
Update
Windows
(같이 결합할 수 있는 윈도우 서비스)

-------------------------------------------------------------------------------------------

Method of Distribution
(분포절차)
Via Removable Drives
(이동식 드라이브를 거처)
Win32/Conficker.B spreads via removable drives and network-mapped drives.
(이동식 드라이브와 네트워크로 뻗어나간다)
It saves a hidden copy of its executable to "<drive>\RECYCLER\S-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d\<random filename and extension >" in the root directory of the located drive, where %d is a decimal number. For example, the worm may copy itself to "F:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx": 
(실행 파일을 숨겨 저장 시킨다. 경로와 파일이름은 랜덤 %d 부분은 십진숫자. 예를들어 웜이 F:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx" 를 복사했다:)

It also creates the file "autorun.inf" which automatically runs the worm executable when the drive is next accessed:
(이놈은 autorun.inf 파일을 만들어 실행되게 한다. 웜은 다음 드라이브 엑세스때 실행 된다??? 뭥미..?)

Via Network Shares
(네트위크 공유 경로)
Win32/Conficker.B also attempts to propagate via Windows file sharing.
(윈도우 공유 파일에서 번식을 시도한다)

It tries to gain access to any available network share (IP\ADMIN$\system32) by attempting to guess the administrator's password. It uses a dictionary attack containing the following strings:
(사용가능한 네트워크를 접근해 공격하는데 관리자 암호를 추측해서 사용한다????? 아놔.. 어려워.. 젠장)

더보기

If successful, the worm drops a copy of itself in the shared directory using a variable filename. It then tries to add a scheduled job to run this copy on the newly compromised system:

오늘은 여기까지... 졸립다 ... 자자..

얼마전 Wscript.exe 어찌구 저찌구 해서 오류메시지가 출력이 됬었다. USB 메모리나 외장 하드를 장착하면 이런 오류가 자주 발생 했던것.. 더 어처구니가 없는것은 메모리에 상주하며 작업관리자나 regedit를 실행시 자동으로 종료를 시켜버린 다는 점이다. XP에서는 파일을 지워도 다시 살아난다. Vista에서는 파일을 지우거나 이름을 바꿀 수도 없다. 바이러스 백신으로는 잡히지도 않는다.

스스로 방법을 찾아 봤는데 PC 부팅후 바로 작업 관리자를 실행 시키고 Wscript.exe 파일이 로드 될 때까지 기다리고 나왔을때 바로 종료를 시켰습니다. (빠른 컨트롤이 필요 합니다 -_-) 종료를 시킨후 regedit를 실행시켜 Wscript.exe 레지를 검색하여 죄다 지워 버렸습니다.  재부팅 시키고 나서 어떤 경우에 오류 메시지가 뜨는데 오류메시지가 가리키는 레지스트리를 찾아 또 지워 버렸습니다. 아마 {HCQ9D-TVCWX-X9QRG-J4B2Y-GR2TT-CM3HY-26VYW-6JRYC-X66GX-JVY2D} 일텐데요. 그런 뒤 아무런 문제가 없더군요..

그럼 이에대한 예방법은 무었일까.. 인터넷을 뒤저도 답이 잘 나오지 않는군요.. 근데 제 생각인데 거의 맞다고 생각합니다. 요즘 이동형 매체에 잠입하여 전파 및 자료유출등 악성 행위를 하고 있는 바이러스가 급증하고 있다고 합니다. 감염이 되 있으면 USB등의 이동형 매체를 꽂는 족족 바이러스가 복사 되는 것이죠.. 저도 확인해 봤는데 안걸린게 없더군요..
제가 본 Autorun.inf 파일의 형태는 두가지 인데요 둘다 바이러스를 이식 시키는것 같습니다.
첫번째
[AutoRun]
Shellexecute=WScript.exe {HCQ9D-TVCWX-X9QRG-J4B2Y-GR2TT-CM3HY-26VYW-6JRYC-X66GX-JVY2D}.vbs "AutoRun"
shell\AutoRun=´o¿ª(O)
shell\AutoRun\command=WScript.exe {HCQ9D-TVCWX-X9QRG-J4B2Y-GR2TT-CM3HY-26VYW-6JRYC-X66GX-JVY2D}.vbs "AutoRun"
shell\AutoRun1=×EO´¹UAiÆ÷(X)
shell\AutoRun1\command=WScript.exe {HCQ9D-TVCWX-X9QRG-J4B2Y-GR2TT-CM3HY-26VYW-6JRYC-X66GX-JVY2D}.vbs "AutoRun"

두번째
[autorun]
shellexecute=.\Recycled\deskinf.pif

Autorun.inf 파일과 같이있는 정체 불명의 {HCQ9D-TVCWX-X9QRG-J4B2Y-GR2TT-CM3HY-26VYW-6JRYC-X66GX-JVY2D}.vbs 파일.. 코드가 좀 길어서 텍스트 파일로 저장후 업로드.. 봐도 뭔소린지는 잘 모르겠습니다. 두 파일이 보이는 족족 다 지우면 된다는것은 잘 알고 있죠. PC로는 들어오는건 어떻게 막을지는... 백신이 처리를 안해주는 이상 그리고 사이트 보안이 낳아지지 않는이상 막을방법은 모르겠구요 다만 자동실행을 하지 않으면 이 바이러스/악성코드 가 있더라도 감염은 되지 않는다는 것입니다. 저같은 경우에는 어떤 매체든 폴더가 열리도록 해 놓았습니다. 그럼.. 문제를 정확히 알았으면 답을 찾아보는 습관을 들일차례!! 이런일로 고생하신다면 도움이 되시길.. 즐거운 설날!!