![[레벨:0]](http://garuyac.com/zbxe/modules/point/icons/default/0.gif "포인트:20point (22%), 레벨:0/30"){kind=icon}
비초록메모리를 너무잡아먹어서 실시간 감지 안켜놨더니 바이러스가 무더기로 나오더군요
그래서 해결방법 찾다가 http://blog.naver.com/kissme1004g 이 블로그에서 첨부파일 다운받았는데
아니 제가 뭘 지우는지도 모르는체 파일삭제가 되어가더군요? 폴더마다 Thumbs.db 이파일도 다 지우고
가만보니 바이러스도 안걸린 파일이 지워지고 ㅡㅡ....
'7' 댓글
![[레벨:7]](http://garuyac.com/zbxe/modules/point/icons/default/7.gif "포인트:5050point (47%), 레벨:7/30"){kind=icon}
운영자
![[레벨:3]](http://garuyac.com/zbxe/modules/point/icons/default/3.gif "포인트:850point (6%), 레벨:3/30")
heat예비군
- 2010.04.18
- 20:06:29
- (*.79.106.72)
안녕하세요 블러그 운영자 푸른비 황랩입니다
헤당 바이러스는 월핵으로 위장한 트로이잔 ddos툴 백도어 트로이잔으로써
Thumbs.db 는 원래 그림 파일 미리 보기 파일입니다만은
헤당 전용 백신 에서 잡는건 정상파일이 아닌 악성코드 파일입니다 다만 소스 변형을 주게 되면은
미탐지 하는것에 대해선 배치 파일로 잡도록 구성하고 있으며 이 Thumbs.db 파일은 악성파일 lpk.dll .악성usp10.dll
입니다 요즘 바이러스들은 얍샵해져서 확장자 파일명까지 모두 위장하고 있습니다
설사 정상 파일인 Thumbs.db 지워진다 하더라도 이미지 미리보기 하시면은 다시 생성되는 파일입니다
지워줘도 무관한 파일이며 전혀 시스템상 아무 하자가 없습니다 ^^
그리고 피시방에선 zip압축 풀고 실행시 제차 재발하신다는 피시방 사장님들 글 때문에 usp10.dll (lpk.dll)를 포함한
zip 삭제 하도록하고 있으며...............(진단명 쪼무래기)
zip하나만 본다면은 악의동작이 하지 않지만 이안에 100% 바이러스가 있어서 zip를 통체로 삭제를 하는겁니다
아시겠습니까?
그 파일들은 정상 파일이 아닌 ~ 님의 화면을 본다더나? 트로이잔을 수행하거나그러한 파일입니다
이셈풀은 맨토 운영자님께 같이 신고된셈풀이며
이 셈풀들은 백신에서도 진단하고 있습니다 다만 블러그에서 떠들어 재끼면은 너도나도 사용할꺼고 그래서
블러그에선 언급하지 않았씁니다만 ㅡㅡㅋ저는요 쓰라고 강요하지 않았고 내가 이거 만든다고해서
국가에서 10원짜리 하나 줄꺼 같습니까? ㅎㅎ 바이러스 제작진들 님이 잘 몰라서 그러시는데
이놈들 머리 하난 비상하게 잘 돌아갑니다 (그건인정 -_-)물에빠진 사람 살려줬더니만 보따리 내놔라 그러시면은
좀 곤란합니다 ? -_-
heat예비군
- 2010.04.18
- 20:20:59
- (*.79.106.72)
증거 바이러스 토탈
원래 이빠이인데 몆개만 보여드리겠습니다만은ㅋㅋ;;; Thumbs.db md5값은 2버전을 제외한
나머지 버전은 lpk.dll(ups10.dll)동일합니다 이게 변종이 워낙에 많아 대충 약한 8개정도 되는걸로 알고 있습니다
이것을 잡는데 정상 파일을 지운다고요? ㅎㅎ 참나 ;;
아~ 물론 배치 파일로는 정상 파일 Thumbs.db 지웁니다만 이건 다시 미리보기하면은 정상파일 다시 생깁니다
삭제 되어도 무관한 파일이며......
위에꺼 바토에 있는거
걸리면은 말 그대로~ 진짜 훅 갑니다~ ㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎ 좋은일 해주고도 욕 얻어먹고 그참 ;;
어이가 없어서 ㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎ 저는요 같은 키젠이라도 해킹툴이 없다면은
전용백신을 제작하거나 백신사로 신고하지 않습니다 다만 해킹툴이 내장될시엔 전용백신과 국내백신사에
신고함을 알려드립니다 lpk.dll(ups10.dll) => Thumbs.db 파일명 변경위장 ㅇㅋ? ㅎㅎ 좋은 하루 되시길 바랍니다 ^^
heat예비군
- 2010.04.18
- 20:29:42
- (*.79.106.72)
ps. 그리고 제가 만든 전용백신은요 모든건......... 국내 백신사 전문가 진단 기준으로 판단을 합니다
저를 신뢰를 하던 안하던 간에 그건 님 마음일테지만은 lpk만 지워준다고해서 완전 치료가 되지 않습니다
그러니깐 숙주 까지 함께 제거를 해줘야만 100% 박멸 치료가 됩니다
그러니깐 원본을 진단 추가를 하고 ....
감염시킨 상태에서 헤당 설치 파일까지 같이 진단을 해야 합니다
시리즈별로 전원다 진단을 하는거죠 ... 이중에서 과거(몆달전) 서던월핵 트로이잔 홀스 .. 그런것도 부분 추가 되었습니다
그러며로 모두 100% 악성코드가 맞습니다 ㅡㅡ
heat예비군
- 2010.04.18
- 20:53:05
- (*.79.106.72)
뭐를 삭제 하는지? 제 블러그 떠벌리면은요?
예를 들어서 aa.exe는 악성코드니 쓰지마라~ 적죠? 그러면은 호기심에 자기네들써요
또한 자기백신 진단테스크겸해서 사용합니다 그러면은 그게 악성이니 자연적 부작용(?)이 있지요
근데 웃낀거는 이런거 위험하니 쓰지말라 그러면은 이게 스패머들 까지 같이 덧글을 답니다
그러면은 필터링을 아무리 강력하게 해봐야 월/핵 월?핵 이딴식으로 변종이 있어서 필터링은 거진 무의미 합니다
월!!!!!!!!!!!핵 이렇게 할수도 있기땜에....... ㅎㅎ;
한번은 어떤일이 있었냐? 하면은 제가 핵쓰지마라 트로이지ㅏㄴ 있다고 블러그에 백날떠들어봐야
넌 씨부리라 난쓴다는 심보..............결국 대량 해킹사건이 발생했죠?
그러면은 유ㅜ저들 저한테 어떻게 해야 하냐?고 물어 보십니다 그러면은 제가 어느 셈풀 어디서 받아서 사용했는지?
제가 어떻게 압니까? 안그래요? 아니 맞잖아요? 그러면은 답변을 당연히 못주죠 주고싶어도 ..........
이사람들 또 자기내들 답변안준다고 제 블러그 뭐 신고 당해가지고 저작권(웹도움말 ) 이란다나? 어쩐다나?
아니 내글 내가 적고 ........위험하니쓰지 말라는게 블라인트 웃기지도 않습니다 ㅋ 그참 어이가 없어요
ㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋㅋ 그러니 블러그에선 떠들지 못래요 왜냐? 유저들 호기심에쓸수도 있고
같이 스펨질 하는인간도 있고 이런저런 말이 많습니다 ㅡㅡ
저는 저보다 더 컴퓨터 잘 모르시는분들 도움드리고자 뭐 만들고하지 아니 .....
제가 진짜 독한 마음먹고 돈별려고 마음먹음 뭐 블러그 적립금 쌓이는 도메인 달아서 .. 블러그 url포인딩해서
저 할수 있어요 근데 그렇게까진 안해요 왜냐 겉은 깨끗한척 속은 구린 초심을 잃기 때문입니다
Thumbs.db 파일도 마찮가지 악성dll을 블랙해커 이인간이 Thumbs.db로 위장해서 잡는겁니다 이게 변형을 주기되면
미 탐지 할수도 있기때문에 Thumbs.db를 배치 파일에 잡도록하는거구요
그리고 ini 파일같은겨웅 헤당 셈풀 ini 파일명으로 잡는게 ...........진단정책은
ini 파일이나 inf파일 하나만 본다면은 위험을 주지 않습니다만 다만 이게 악성으로 링크가 되기때문에
카스퍼스키와 동일한 진단을 사용합니다 .......
제가 뭐 할짓 없어서 그런거 만들겠습니까? ㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎ
솔직히 모르시니 충분히 오해는 하실수 있어요
아니 그러면은 그걸 저한테 메일로 주시던가하지...........
게시판에서 떠들어 제끼버리심 저는 뭐가 됩니가? 저는 뭐 10원짜리 하나 못벌고 도와줬는데도 욕먹고
기분이 좀 언짢습니다 ㅡㅡ 지금 고맙다고 해도 시원판에 ㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎ
블랙해커들 머리 좋아요 이미지 파일에도 바이러스 심는 시대인데 ㅎㅎㅎ
저도 주저리 주저리 해봤습니다만 ㅡㅡㅋ 아니 그렇게 불안하시면은 자가 포멧하시면은 되지 않습니까? 그쵸?
ㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎ 살다살다 별의별꼴을 다 보네요 ㅡㅡ
heat예비군
- 2010.04.18
- 23:02:25
- (*.79.106.72)
http://blog.naver.com/kissme1004g/130084527597
제 블러그에 가시면은 분석도표가 있습니다만 ㅡㅡㅋ
뭔가 오해를 하신것 같습니다 저도 욱해가지고 막말했습니다만 기분 나쁘셧다면은 사과를 드리구요
제가 전용백신 제작은 멘토엔진파일로 만든것은 맞습니다만은
그거전용백신과 멘토 운영자님과 관계는 아무런 상관이 없습니다
그리고 전용백신에는 동의서가 포함이 되어 있구요........ 그리고
위 제 블러그에서 분석표를 보시면은 아시겠지만 파일명은 틀리나 유독 md5값이 동일한건 아실겁니다
이건 뭐냐? 안에 소스가 같다는 것입니다
그러므로 Thumbs.db 파일은 lpk.dll 이 파일임을 알수가 있습니다 ..
배치파일로 할시엔 c안에 있는 모든 Thumbs.db 는 다 날라갑니다 하지만 이건 날라가더라도
시스템에 전혀 하자가 없으며 또한 미리보기 하시면은 자동적으로 생성이 됩니다 .
그외에 조무래기 진단명이라고 해서 셈풀을 압축한 배포상태의 zip진단하는건 ....그거는 피시방 등에서
악의적인 유저가 압축을 풀면 해킹툴 재발이 다시 생기기때문에 잡는것입니다
물론 배포상태의 zip파일 하나만 본다면은 zip안에 있어서 바이러스가 활동하지 못합니다 진단하면은
오진이라면은 오진이죠.. 근데 유저가 다시 풀어째끼면은 또 재발합니다 그래서 원천적 100% 삭제를 위해서
zip파일을 잡고 있습니다 어짜피 백신사는 VB100테스트도 나가야 하기때문에 이런건 잡지 않지요
ㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎ 예를 들어서 부분 변종... 즉 바이러스가 업데이트 되면은
안서 소스가 확 바뀌기땜시롱 md5값이 틀려요
그러면은 악성dll이 언제든지?Thumbs.db 파일로 위장 할수가 있답니다^^;
그렇기때문에 어짜피 지워도 아무런 해도 없거니와 삭제해도 무방한 파일이라 배치 파일에 추가 하게 되었습니다
저보다 더 컴퓨터 잘 모르시는분들(저도 컴맹이지만은)도와줄라고 그런거지 제가 뭐 백날해봐야
저요? 돈 10원짜리 개뿔도 받는거 없어요 멘토 운영자님께서 마찮가지구요.. ㅎㅎㅎ
이벤트해서 문화상품권 받아봐야 저는 이거 좋은데 기부를 합니다 ;;^^;
바이러스고 악성이니깐 잡는거지 괜히 그러는거 아닙니다
ㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎㅎ 뻘쭘하시죠?
안녕하세요. 멘토안티바이러스 개발자입니다.
우선 불편을 드린점 대단히 죄송합니다. 내용을 찾아본 결과 멘토 안티바이러스로 그런게 아니라 관련된
엔진제공 서비스와 연관이 된거 같습니다. 차후 이런부분은 보완하도록 하겠습니다.