2007년 11월 09일
odbcwyp32.dll.. notepod virus : 1분내에 windows를 종료시키는 바이러스
학교 컴에 Dcom 어쩌구 서비스가 중지되었기 때문에 시스템을 재시작한다는 메시지가 자꾸 뜬다.. 첨엔 잘못 깔렸나 생각했는데, 며칠 전에는 집에 있는 데스크탑에서도 똑같은 증상이 나타났다. 신종 바이러스 발생!! 우선, 셧다운 메시지로 검색해보니 MSBlaster라는 아주 오래된 바이러스가 나타난다.. 이놈 유명했지.. 깔자마자 감염되어서 shutdown -a(강제재부팅 메시지를 강제로 중지시킴) 를 알기 전까지는 1분 내에 어떻게든 저놈만 잡아죽이는 파일을 실행시키려고 애를 썼었다.
결과는 비슷한데, 당삼 저놈은 아닐 것이다. 실제로도 msblaster의 징후로 알려져 있는 증세들도 나타나지 않는다. 한편, v3을 돌려보니 공통점들이 하나 있는데 저 메시지가 뜨는 놈들은 공통적으로 무슨무슨 downloader라는 트로얀이 있다는 것이고.. 문제는 치료를 하려고 하면 치료 실패가 뜬다는 것이다. 수동으로 지우려고 찾아가 우클릭 하니 바로 사라져 버린다. 어떻게 한건진 모르겠지만.. 그 문제의 파일이 바로 odbcwyp32.dll이었다. 관련 바이러스 정보는 아래를 참조.
http://v.chol.com/info_virus_view.asp?list=/virus_info_list.asp&seq=11236
위 링크에서는 쉽게 해결되는 것처럼 나오지만, 이놈은 변종일지도 모른다. 보아하니 txt를 notepod.exe로 열어서 복제복제복제하는 것 같다. 일단 windows 폴더에 숨김속성으로 되어 있던 notepod.exe를 색출해서 제거했다. regedit를 해서 notepod.exe가 있는 모든 항목을 삭제했다. 하지만, 뭔가 찜찜하다.. 다행히 내 mac parallels에 있는 xp는 깨끗하다.
* 위 조치를 하게 되면 txt 파일에 링크 되어 있던 어플이 삭제되는 경우가 있다. 처음 txt를 실행할때 디폴트 어플을 설정해주던지 레지스트리중 .txt 관계되는 레지스트리의 notepod 자리에 notepad를 써넣으면 된다.
** 3일 가량 지난 현재, 조치를 취한 컴들은 얌전하다.
** 보름 가량 지난 현재도 얌전하다. 리플들과 종합해서 판단해본결과 내 추정이 맞은 것 같다.
----------------------------조치법 요약 ---------------------------------
(1) 셧다운 메시지가 뜨면 [시작]->[실행]->"shutdown -a" 실행 (1분내 셧다운 메시지를 강제종료시킵니다)
(2) 실행 창에서 "regedit" 실행, --> CTRL+F (찾기) 에서 "notepod"입력
(3) notepod 관련 레지스트리 삭제
(4) notepod가 없을 때까지 (2),(3) 반복
(5) 파일과 폴더 찾기 실행 --> 위치는 "C:\Windows" , 옵션은 시스템, 숨김 화일 모두 체크, "notepod"로 검색, 검색되는 파일 모두 삭제
(6) 나머지 파일들, 즉 disk.ico, A000*.*, *[1].rar 등도 방문객 님의 리플을 참조하여 삭제합니다. (방문객님 감사합니다)
저는 (6)항은 귀찮아서 안하는데.. 급하실 땐 (5)항까지만 하셔도 될 듯합니다.
이 글과 관련있는 글을 자동검색한 결과입니다 [?]
- 인터넷 익스플로러에서 한/영 키를 눌러도 한글로 전환이 안될때 by 에스키모
- COM [Component Object Model] by ORACLE
- [Mac] Parallels + Boot Camp by 막달리자
# by | 2007/11/09 10:17 | cs | 트랙백 | 덧글(7)
☞ 내 이글루에 이 글과 관련된 글 쓰기 (트랙백 보내기) [도움말]
정말 고마워요 -
이것 때문에 왕창 스트레스 받아서 xp다시 깔았는데
또 걸려서 이번엔 끝을 봐야겠다 싶었거든요 -
이젠 깔끔해요 - 감사해요 ㅋㅋ
학교에 있는 PC 전부 걸렸더군요. 3일전 자동 업데이트 하고 난 뒤에 보이기 시작했습니다.
안전모드에서 cmd 입력으로 다 삭제 했습니다. -_ㅜ
저같이 삽질 하시는 분이 안계셨음 합니다.
링크 걸어주신 내용과 차이가 있습니다. (중간에 누가 변종으로 만들었나 봅니다)
//파일 6개를 생성합니다.
파일 모두 속성에 system과 hidden 이 걸려 있습니다. cmd 에서 dir 하면 안보이니 dir /a 하셔야 합니다.
파일 에 걸린 속성 해제는 attrib -s -h 하시면 됩니다. (예 : attrib -s -h disk.ico)
파일의 위치가 다를 수도 있으므로 dir /a/s 파일명 입력 하신 다음에 찾아가서 삭제하심 됩니다. (예 : dir /a/s disk.ico)
다음 4개의 파일은 C:\windows\system32\ 디렉토리 안에 있습니다.
- disk.ico (24,414 바이트) - 데이터 파일
- notepod.exe (53,248 바이트) - 자신의 복제본
- odbcwyp32.dll (77,824 바이트) - V3에서 Win-Trojan/Downloader.77824.AD으로 진단.
- xtemp1.exe (44,877 바이트) - V3에서 Win-Trojan/PcClient.44877으로 진단된다.
//위 파일 중 V3는 odbcwyp32.dll과 xtemp1.exe란 파일은 잡습니다. 그러나 치료를 하겠다고 하면 odbcwyp32.dll 을 건드리면서
60초 shutdown 화면이 뜹니다. 그리고 치료 해도 재부팅 해 보면 다시 복제되어 있습니다. 결국 잡히질 않습니다.
그래서 cmd 입력으로 들어가서 odbcwyp32.dll 파일을 삭제하려고 해도 사용중이라며 삭제가 불가능 하다고 나옵니다.
안전모드에선 이 파일을 읽지 않기 때문에 안전모드에서 삭제하시는 것이 좋습니다.
다음 두개 파일은 특정 디렉토리에 있습니다.
- A0003436.dll (132,608 바이트)
- www[1].rar (44,877 바이트)
//A0004378.exe 파일이 A0003436.dll 파일로 되어 있습니다. 아무리 A0004378.exe로 검색 해 봐야 나오질 않죠.
그래서 A000*.* 로 검색했더니 잡혔습니다. 근데 잡힌 위치가...
C:\system volume information\_restore{중략} 이더군요. 시스템 복원 폴더입니다. 복원기능을 사용하니 삭제가 불가능합니다.
복원 기능 해제하시고 삭제하심 됩니다.
hou[1].rar 파일이 www[1].rar 파일로 되어 있습니다. 마찬가지로 검색이 안되기에 *[1].rar 로 검색했더니 잡혔습니다.
위치는 C:\windows\system32\config\systemprofile\local settings\temporary internet files\랜덤 디렉토리 안에 있었습니다.
zonam님 덕분에 힌트를 찾을 수 있었습니다. 감사합니다 ^^
문제는 예방이 안된다는 것이죠.. 제가 있는 피시실은 v3인데, 이놈 여기저기 잘 보이니 담 패치때 해결되길 기원할 뿐입니다..
포맷까지 가야하나 망설이다가 간신히 잡았습니다 감사합니다.