* 샘플코드 : IK07061311568-000199
* 길이 : 24,785
* MD5 : 36af4b74ade9a895385ced6263e8b40b

악성코드의 프로그램 방해는 여러가지가 있지만 지금까지 못보던 방법이 나왔다.
(물론 이미 사용되었겠지만..)

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
에 실행을 막을 파일 이름을 악성코드 자신으로 지정한 것이다.


사용자 삽입 이미지

레지스트리 변경 화면


만약 악성코드가 삭제되면 해당 파일을 실행하면 오류가 발생한다.

사용자 삽입 이미지

REGEDIT 나 AUTORUNS.EXE 로 키를 삭제해야한다.
하지만, AUTORUNS.EXE는 실행을 막고 있으므로 AUTORUN.EXE 과 같은 이름으로 변경해서 실행하면 된다.

사용자 삽입 이미지

신고
Posted by mstoned7

댓글을 달아 주세요

  1. pcaccent 2007.07.05 23:27 신고  댓글주소  수정/삭제  댓글쓰기

    (저 파일... 삽질하면서 보던것 같은데... 제가 찾은게 맞다면... 글 올리는데 좀 떨리는데요...)

    저 파일 만든 generator로 그냥 버튼 하나만 누르면 레지스트리, 파일 모두다 복구(완전히는 아니지만, 찌꺼기가...)된더네요...

    그리고 세번쨰 그림보니까... 이미 파일을 지우신듯? 맞죠? ㅋㅋㅋ

  2. mstoned7 2007.07.08 10:27 신고  댓글주소  수정/삭제  댓글쓰기

    그림은 원래 4개였는데 악용(레지스트리 키값) 때문에 삭제했습니다.
    그림은 악성코드 파일을 지우고 테스트 해봤죠.