어제 기숙사 컴퓨터 3대가 무려 동시에 당하는 사례가 발생.
의외로 치료법은 쉽더군요.
* 증상 : 윈도우 탐색기 선택했을 경우 아래와 같은 Script 오류창 표시
* 조치 : 백신프로그램 이용 삭제
- 바이러스 체이서로 삭제 조치한 파일
|
상세정보
출처 : 안랩
* 전파 경로
VBS/Sasan은 연결된 모든 드라이브 루트(USB메모리 드라이브 포함)에 자신을 복사해 넣고, "Autorun.inf" 파일을 생성하여 드라이브 연결시 마다 자동으로 실행되는 형태로 확산되는 악성 스크립트 파일이다.
휴대용 저장장치에도 복사되고 자동으로 실행되도록 만드는 증상때문에 재 감염 증상이 발생할 수 있는데, 이를 방지하기 위해서는 반드시 모든 드라이브(USB메모리등과 같은 휴대용 저장장치 포함)의 전체적인 검사가 필요하다.
|
* 실행 후 증상
|
[파일 생성]
윈도우 폴더에 다음 파일을 생성한다.
- boot.ini (7,766 바이트)- V3에서 VBS/Sasan으로 진단된다.
- .MS32DLL.dll.vbs (7,766 바이트)- V3에서 VBS/Sasan으로 진단된다.
주) 윈도우 폴더는 시스템마다 다를 수 있으며 보통 윈도우 95/98/ME/XP는 C:\Windows, 윈도우 NT/2000은 C:\WinNT 폴더이다.
연결된 모든 드라이브 루트 폴더에 다음 파일을 생성한다.
- .MS32DLL.dll.vbs (7,772 바이트) - V3에서 VBS/Sasan으로 진단된다.
연결된 모든 드라이브 루트 폴더에 다음 파일을 생성한다.
- autorun.inf (106 바이트) - V3에서 TextImage/Sasan으로 진단된다.
[레지스트리 등록]
레지스트리에 다음 값을 추가해 윈도우 시작 시 자동으로 실행되도록 한다.
HKEY_LOCAL_MACHINE\
Software\
Microsoft\
Windows\
CurrentVersion\
Run
MS32DLL = 윈도우 폴더\.ms32dll.dll.vbs
HKEY_LOCAL_MACHINE\
Software\
Microsoft\
Windows\
CurrentVersion\
Run
winboot = wscript.exe 윈도우 폴더\boot.ini
레지스트리의 다음 값을 셋팅해 부팅시마다 탐색기에서 "숨김 파일 및 폴더 표시" 및 "시스템 폴더 내용 표시"등을 disable 시킨다. 이는 자신을 은폐하기 위한 수단으로 사용된다.
HKEY_CURRENT_USER\
Software\
Microsoft\
Windows\
CurrentVersion\
Explorer\
Advanced\
SuperHidden
HKEY_CURRENT_USER\
Software\
Microsoft\
Windows\
CurrentVersion\
Explorer\
Advanced\
HideFileExt
HKEY_CURRENT_USER\
Software\
Microsoft\
Windows\
CurrentVersion\
Explorer\
Advanced\
Hidden
또한, 다음 레지스트리 위치의 값을 셋팅해 드라이브 연결시 자동 실행 기능이 동작하도록 만든다.
HKEY_CURRENT_USER\
Software\
Microsoft\
Windows\
CurrentVersion\
Policies\
Explorer\
NoDriveTypeAutoRun
[기타]
실행시 "wscript.exe(정상파일)"를 통하여 실행되도록 되어있는데, 감염 동작을 지속적으로 반복하는 증상으로 인하여 치료 순간 파일 엑세스가 불가능한 현상이 나타나기도 하며, 이때 "wscript.exe"의 프로세스 점유율이 상승하기도 한다.
VBS/Sasan 발견시 작업관리자를 확인하여 "wscript.exe" 프로세스가 동작중이면, 이를 강제 종료 시키고 진단/치료를 진행하는 것이 좋다.(주의:"wscript.exe"파일은 윈도우에 존재하는 정상 파일이므로 삭제해서는 안된다.)
자세한 치료 방법 참조 : http://blog.naver.com/tiniji77/150018370046 | |
PS. 그러고보니 컴퓨터쪽은 첫 포스팅이군요 =ㅅ=;;;
