728x90
반응형
오늘 접수된 새로운 론다 웜은 자신의 블로그로 접속하게 한다.
- 샘플코드 : EC07072600074-000001
- MD5 : cb0a07279af5c7f4d13f6c3e56a46587
- 파일길이 : 184441
- V3 진단명 : Win32/Ronda.worm (2007.07.27.00 이후 엔진)
접수된 파일이름은 co방어기.exe 였다.
아마도 카페 등에 게임 관련 유틸리티로 올리게 아닐까 싶다.
악성코드는 SVKP 로 압축되어 있으며 이 패커는 디버거나 모니터링 프로그램이 있으면 실행되지 않는다. 따라서, 분석하기 좀 까다롭다.
실행되면 특정 주소 (http://****.ze.to) 사이트로 접속을 시도한다.
2007년 7월 26일 오후 6시 12분 현재 오늘만 311명이 접속했다.
총 16025 명 접속.
글은 달랑 1개 올라와있기 때문에 악성코드에 감염된 사용자 수가 아닐까 싶다.
[증상]
- C:\boot.ini 파일을 변경해 안전모드(Safe Mode)로 부팅
c:\boot.ini 의 부팅 관련 설정을 변경해 (/safeboot:minimal 추가) 무조건 안전모드로 부팅되게 함
- 윈도우 9X, 윈도우 XP 에 맞게 작성되어 윈도우 2000에서는 에러 발생
아마도 내부 버그로 보이는데 파일을 찾을 수 없다는 에러가 발생함
다음과 같은 문자열을 포함하고 있다.
"Ronda VIrus - Error _ 404"
"Don't mess with me..., You want to die,.."
[복구방법]
1. 백신으로 진단 치료 혹은 실행된 악성코드를 찾아 삭제
등록되는 레지스트리 키값
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows = 실행된 파일명
2. boot.ini 에 등록된 /safeboot:minimal 삭제
boot.ini 에서 /safeboot:minimal 을 제거해야지 안전모드로 부팅되지 않는다. 하지만, boot.ini 파일은 히든 속성을 가지고 있어 수정하기 힘들다.
1) 도스창(명령프롬프트, cmd.exe)을 연다.
2) ATTRIB -R -H -S -A C:\BOOT.INI 입력
3) BOOT.INI 수정
4) 재부팅
- 샘플코드 : EC07072600074-000001
- MD5 : cb0a07279af5c7f4d13f6c3e56a46587
- 파일길이 : 184441
- V3 진단명 : Win32/Ronda.worm (2007.07.27.00 이후 엔진)
접수된 파일이름은 co방어기.exe 였다.
아마도 카페 등에 게임 관련 유틸리티로 올리게 아닐까 싶다.
악성코드는 SVKP 로 압축되어 있으며 이 패커는 디버거나 모니터링 프로그램이 있으면 실행되지 않는다. 따라서, 분석하기 좀 까다롭다.
실행되면 특정 주소 (http://****.ze.to) 사이트로 접속을 시도한다.
2007년 7월 26일 오후 6시 12분 현재 오늘만 311명이 접속했다.
총 16025 명 접속.
글은 달랑 1개 올라와있기 때문에 악성코드에 감염된 사용자 수가 아닐까 싶다.
자신의 블로그로 접속을 시도하는 론다 웜 변형
[증상]
- C:\boot.ini 파일을 변경해 안전모드(Safe Mode)로 부팅
c:\boot.ini 의 부팅 관련 설정을 변경해 (/safeboot:minimal 추가) 무조건 안전모드로 부팅되게 함
- 윈도우 9X, 윈도우 XP 에 맞게 작성되어 윈도우 2000에서는 에러 발생
아마도 내부 버그로 보이는데 파일을 찾을 수 없다는 에러가 발생함
다음과 같은 문자열을 포함하고 있다.
"Ronda VIrus - Error _ 404"
"Don't mess with me..., You want to die,.."
[복구방법]
1. 백신으로 진단 치료 혹은 실행된 악성코드를 찾아 삭제
등록되는 레지스트리 키값
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows = 실행된 파일명
2. boot.ini 에 등록된 /safeboot:minimal 삭제
boot.ini 에서 /safeboot:minimal 을 제거해야지 안전모드로 부팅되지 않는다. 하지만, boot.ini 파일은 히든 속성을 가지고 있어 수정하기 힘들다.
1) 도스창(명령프롬프트, cmd.exe)을 연다.
2) ATTRIB -R -H -S -A C:\BOOT.INI 입력
3) BOOT.INI 수정
4) 재부팅
728x90
반응형
'보안위협 (악성코드) > 악성코드 소식' 카테고리의 다른 글
OpenOffice 용 악성코드 BadBunny (0) | 2007.08.02 |
---|---|
또 다른 MSN 메신저를 이용한 사기 행위 (1) | 2007.07.27 |
메신저로 퍼지는 신종 웜 관련 (0) | 2007.07.25 |
곰플레이어 개인정보 유출 의혹 사건 (1) | 2007.07.20 |
저작권 협회(SPC) 사칭 론다 웜 변형 (0) | 2007.07.18 |