본문

스팸메일 보내는 신종 바이러스??

며칠전에 당나귀(eMule)에서 TTS(Text to Speech) 프로그램이라고 해서 다운받은 정체모를 프로그램을 다운받고 실행한 후부터, 별의별 바이러스가 침투해 오기 시작했다.

C:\WINDOWS\system32\drivers\down 여기 밑으로 바이러스를 다운받는데, 알약을 깔아놔서 중간에 차단을 해놓긴 했지만, 받아오는 속도가 너무 빠르다보니 알략이 다 처리하지 못하고, 결국엔 공포의 블루스크린을 띄우는데에 이르렀다. (바이러스 다운받는 프로그램은 백신 프로그램에서 발견해내지도 못했다)

시스템 드라이버로 바이러스 기능이 동작하나본데, 이것때문에 다른 드라이버와 충돌이 일어났는지 모르겠지만, 부팅만하면 블루스크린이 뜨게되었다. 안전모드도 안되고 해서 콘솔로 들어가서 하나씩 삭제해주는 수작업을 통해 시스템을 구동하게끔 하긴 해놨다.

그러고선 다 고쳤다고 생각하고 있었는데, 다른 메일발송바이러스가 남아있다는것을 우연찮은 패킷검사를 통해 알아내게 되었다.

사용자 삽입 이미지
[그림 1] 아무 작업도 하지 않는데 패킷이 잡혀서 보니 메일을 발송하고 있는 거였다.



대개 바이러스의 경우 일부 증상과 메시지를 치면 구글에서 바이러스 명 등이 나오는데, 메일의 내용을 구글링 해보니 두개의 페이지밖에 나오지 않았다. 나온것도 그저 메일의 내용을 복사/붙여넣기한것일 뿐이었다. 신종 바이러스인가!!

사용자 삽입 이미지사용자 삽입 이미지사용자 삽입 이미지
[그림 2] 구글 검색에서 나오지 않다니.



사용자 삽입 이미지
[그림 3] Comodo Firewall에서 모니터링 한 결과.


어쩔수 없이 방화벽으로 어떤 프로그램이 보내고 있는지를 확인해봤더니 svchost.exe였다. 뭐 이 다음부터는 내가 할 수 있는 작업이 없다 생각되어(백신 프로그램이 못잡는걸 내가 어떻게 잡나 해서) svchost의 나가는 패킷은 모두 차단하는 방법을 선택했다. 이렇게 설정하니 밖으로 나가는 패킷이 없어진것을 알 수 있었다. 거 참,.

좀 더 자세히 알고싶다면 패킷분석을 더 정확히 하면 되지만, 성격상 하나하나 따지고 드는성격은 아닌지라 대충 덮어두고 넘어간다.



아래에 메일 본문을 적어본다.
보내는 메일주소는 recharge@bioeducenter.org 이고, 받는 주소는 지 맘대로다. 어디서 메일 리스트를 다운받는것 같은데.


=================================
Are you a frequeent visitor of retaill softwaree stores?
We know what
you're overpayiing for:
- box manufaccturing

- CD
- salesperrson salary
- Reent of shop spacce
- Yeear-to-year iincreasing taxes in your couuntry
Well, what for ?! You're able to downlload everythinng legally NOW! Fabuloous range of softwaree and LOW prices will make you smile and save your money!
Welcome to http://lorainelusbyen.blogspot.com

Upon the earth, yet i should fall amidst the wise the utmost
gravity and the same precision with we use the right, for
all purposes, and therefore reward, has not to live long
in the world.592 in speech, she chose the company of her
lords, a debatable land. The country around, is, for was
making all this wild music. She was standing see 'em both,
but it's the girl i'm rilly looking coolly. I haven't the
remotest idea what you're i was not wanted. No international
question has manner their verdict becomes known before the
day, get many sons. Those men who perform the vasuki, having
heard that curse and then the words remnant of his senses,
i.e., the senses of knowledge by night before and the obscurity
closed in upon.

신고

댓글 2

  • 게스트 썸네일
    2008.07.24 16:03 신고

    저도 이것 때문에 고생 중입니다.
    코모도로 scvhost를 막아 버리긴 했지만 영 찝찝하네요.
    frontjang님은 어떻게 해결하셨는지 궁굼합니다.

  • 게스트 썸네일
    2008.07.24 21:36 신고

    저만 걸린게 아니었군요!!ㅎㅎ
    네트워크 프린팅도 svchost를 사용하기 때문에 차단할 수 없어서
    (25번 포트 말고도 혹시 몰라서 모든 포트를 막았었죠)
    결국 윈도우를 포맷!했습니다..ㄷㄷㄷ

Holic Spirit :: Tistory Edition

design by tokiidesu. powerd by kakao.

티스토리 툴바