큰일나셨군요 포맷해도 안사라 지는 바이러스 ....
하지만 방법은 잇다는거!
1. Win32.Parite.A 코드상세정보 [자료참고] Trend micro, Ahn Labs.
1) 요약 정보 : 윈도우 기반의 바이러스, 이 바이러스는 네트워크 환경 내에서도 스스로 감염대상을
찾는데 읽기/쓰기 공유된 폴더나 드라이브의 *.exe, *.scr 파일을 찾아 감염시킨다.
공유폴더나 드라이브를 제대로 관리하지 않고 있을 경우 재감염을 피할 수 없다.
심지어 포맷을 해도...
2) 코드명 : PE_PARITE.A (명명 : Trend micro)
3) 다른 이름 : W32.Elkern.dam, W32.HLLW.Gaobot.gen, W32.Pinfi, W32/Parite-B, W32/Pate,
Win32.Pinfi.A, Win32/Parite.B, Win32/Pinfi.A
4) 감염경로 : 네트워크 공유 폴더 및 드라이브
5) 재감염 방지법
- 네트워크 공유 폴더나 드라이브 암호 설정
- 치료 후 윈도우 임시 파일 폴더 삭제하기 (바이러스 원본이 들어 있음)
- 바이러스 검사 시 반드시 인터넷 연결을 차단한 후, 검사 옵션을 "모든 파일"로 설정
6) 생성파일 : 윈도우 임시 폴더(%SystemRoot%\TEMP)에 임의의 이름.tmp 파일 생성
7) 주요증상(특징)
- shell process 나 EXPLORER.EXE 에 자신을 삽입 (바이러스 메모리 검사시, 진단 되지 않도록)
- 네트워크 공유 폴더나 드라이브에 접근하기 위해 30167 포트를 open
8) 레지스트리 추가 및 변경
- HKEY_CURRENT_USER -> Software -> Microsoft -> Windows -> CurrentVersion ->
Explorer 항목에 PINF 키 추가 후, "%SystemRoot%\TEMP\임의의 파일명.tmp" 값 추가
9) 기타 재감염을 방지하기 위한 참고 사이트
- 카페 “치료보다 예방”(http://cafe.daum.net/nologff)
. [재감염 예방하기] -> 바이러스 재감염 예방법들
. [재감염 예방하기] -> 공유폴더 안 막으면 영원히 치료 못 한다.
2. 치료법
1단계 : 사용하고 있는 백신의 엔진을 최신으로 업데이트
2단계 : 인터넷 연결 차단(모뎀끄기) // 해당 바이러스는 공유를 통해 전파되므로 필히 차단
3단계 : 안전모드 부팅 // 해당 바이러스는 은폐형이라 정상 부팅에서는 진단하기 어렵다.
4단계 : 백신으로 바이러스 검사 수행 (검사옵션 : 모든 파일, 압축파일, 모든 드라이브)
5단계 : 윈도우 임시 폴더 및 임시 인터넷 파일 비우기
- 임시파일 삭제 : 시작 -> 실행 -> %temp% -> Ctrl + A -> Del -> 엔터
- 임시 인터넷 파일 삭제 : IE 실행 -> 도구 -> 인터넷 옵션 -> (일반)탭 에서 "파일삭제"
"오프라인 항목들 모두 삭제"
- 윈도우 임시 파일 삭제 : 시작 -> 실행 -> %systemroot%\temp 입력 후, 엔터->
Ctrl + A -> Del -> 엔터 (바이러스 본체가 들어 있음)
- 휴지통 비우기 : 휴지통 -> 오른쪽 마우스 -> 비우기
3. 재감염 방지하기 (2. 치료법 수행 후 바로 실행 하세요)
3-1) 공유 폴더 암호 설정 및 권한을 “읽기” 속성으로 변경 (필수)
외부 접근자는 내용을 읽을 수만 있도록 설정된다면, 바이러스 조차도 이 폴더에 "기록이나 쓰기"가
되지 않기 때문에 바이러스 감염을 막을 수 있습니다. 공유폴더를 읽기 전용으로 만드는 것은
공유 등록정보 창에서 설정할 수 있습니다. (그림1)
공유 등록 정보 창 안에 있는 “사용권한”을 클릭 후, "Everyone"의 권한을 아래 그림2. 처럼
읽기 - 허용, 변경 - 거부로 설정합니다.
이렇게 설정하면, 이 컴퓨터의 관리자 계정의 사용자는 이 공유폴더안의 파일이나 폴더의 수정이 가능하지만, 다른 쪽에서 네트워크 혹은 인터넷으로 접근한 사용자의 경우는 수정이나 편집이 불가능해집니다. 공유 해제보다는 번거롭지만 바이러스 접근을 막는 좀 더 현명한 방법입니다. 참고로 모든 사용자에는 지금 이 컴퓨터의 관리자 계정도 포함이 되어 있긴 하지만, 관리자 계정은 [공유 등록정보] 창의 [보안]탭에 예외처리가 되어 있으므로 상관없습니다.
3-2) 관리목적의 공유폴더를 통해 외부에서 악의적 사용자나 악성코드 차단하기
HKEY_Local_Machine -> System -> CurrentControlSet -> Services ->
LanmanServer -> Parameters 항목에
AutoShareServer (win2k의 경우 AutoShareWks) 항목을 REG_DWORD 형식으로 값 추가 후
"0" 으로 설정 // 관리자를 위한 숨겨진 공유가 필요없다면 disable 하는 기능
3-2) 널 세션(익명사용자 접속 차단) : 해킹 차단에 필수
HKEY_Local_Machine -> System -> CurrentControlSet -> Control -> LSA 로 이동 후,
RestrictAnonymous 값을 REG_DWORD 형식으로 하여 "1" 로 설정
3-2) 널 세션으로 공유 자원에 접근 할 수 없도록 윈도우 관리목적의 기본 공유 폴더 제거 (필수!)
HKEY_Local_Machine -> System -> CurrentControlSet -> Services -> LanmanServer ->
Parameters 항목에
AutoShareServer (win2k의 경우 AutoShareWks) 항목을 REG_DWORD 형식으로
값 추가 후 "0" 으로 설정
4. 참고 : 공유폴더로 감염되는 대표적인 바이러스와 웜
-> Win32.Parite.A, Win32/Opasoft.worm, Win32/LovGate.worm