반응형
필자는 data복구용 s/w를 설치하다가,
확인되지 않는 프로세스의 작도을 확인하였다.
사건은 5일전 발생 2013.08.13경에 발생함
torrent로 받은 어떤 유틸리티였는데, setup파일내에 삽입된 특정코드가 작동되어 설치가 됨
증상
0. 일단 이것은 필자가 사용하는 v3 lite가 전혀 인식하지 못하였다.
1. dhshwe.exe 같은 이상한 프로세스가 작동하여 keyloging을 함
(C:\Users\사용자이름\AppData\Roaming에 위치)
2. svchost.exe를 위장한 프로세스를 생성
3. comdlg32.ocx 시스템파일을 삭제;
4. realtek lancard driver를 변조(다른 제조사의 것은 확인못함)
5. 윈도우즈 시스템 복원 기능이 설정됨(필자는 사용하지 않았었음)
현재까지 위사항이 확인되었다.
1번 2번은 바로 확인하여 조치를 취했는데(시작프로그램은 지우면 살아나고, 안전모드로 부팅해서 처리)
3번 4번은 뒤늦게 발견되었다는 점이 정말 무섭다.
현재 진행형으로 대단히 위험하다.
keylog가 대단히 정교하게 숨어들어서, 로깅된 tmp파일을 생성하여, 특정 서버로 보내는것 같은데, 모두 삭제한 상태라, 좀 아쉽다.
반응형
'life > info' 카테고리의 다른 글
섬유별 세탁법 (0) | 2013.11.10 |
---|---|
sfc /scannow (0) | 2013.10.07 |
제어판 내에 자바 항목 제거하기 (0) | 2013.05.27 |
[위험] 댓글봇 유입 (0) | 2013.03.28 |
epson 출력 미디어 (0) | 2013.02.06 |