진장헐~! 18~! '이 컴푸털 걍~ 뽀샤뿌리까?'
내 고상한 입에서 쌍소리가 절로 나오네 그려~
얼마 전에 OS를 XP로 바꾼 뒤... 난 또 다시 컴맹이 되어부렀다.
분명 이노무 컴터가 병 든 것 같은데... 어디에 병이 난 건 지 도통 알 수가 없었다.
잘 되던 인터넷이 어느 순간 갑자기 끊기고... 10~20분 정도 지나면 또 연결 되고...
컴퓨터 키보드 마우스 반응속도가 현저히 떨어지고...
다운로드 받다가 어느 순간 멈추어 서 버리고...
인터넷전화로 미국과 전화통화 하다가 갑자기 먹통이 돼삐리고...
그럴 때마다 난 신비로 A/S 센터로 전화를 해서는
"우째 라인이 이리 불안정한 겁니꺼? 다운로드 받다가 갑자기 끊기고..."
"네, 죄송합니다. 내일 방문드리도록 하겠습니다."
다음 날 되어설랑
"신비로 기삽니다. 어디가 문제인지요?"
"네, 지금은 괜찮은데요? ..."
"그럼, 안 되면 다시 연락 주세요..."
우이 쒸~ 난, 엠한 신비로 인터넷 라인만 탓하구 있었다.
그러기를 몇 번.
그러다가... 며칠 전에...
라인이 끊길 때는 어떤 특이한 패턴이 있음을 발견하게 되었다.
라인이 끊어지면 어김 없이 마우스(키보드) 반응속도가 떨어지는 것이었다.
'오잉? 그렇다면 인터넷 라인 문제가 아니라는 거네? 내 컴 자체 문제라는 거네? 그렇담, 뭐라는겨? 씨~'
'V3가 시스템을 감시허고 있응께 바이러스는 아닐테구... 그럼 뭐여? 우이 쒸~'
'이 컴을 다 뽀샤뿔구 새루 사 버려? 포맷을 해버리구 오에스를 새루 깔어?'
그라다, 오늘. 역시 미국과 전화하다 또 라인이 끊어졌다.
'에고~ 내 팔짜야~ xp 깔구 다시 컴맹이 돼뿌렀네 그려~'
신세한탄 하다가...
Ctrl+Alt+Delete(작업관리자)를 눌러 도대체 어떤 프로그램들이 사용 중인가.. 열어 봤다.
역시 프로그램은 내가 띄운 것만 실행되구 있었다.
무심결에 그 옆 [프로세스]를 눌러 보았다.
'여기 등록된 실행파일들은 거의 내가 모르는 프로그램인디... '
그냥 쭈우욱~ 훑어 봤는데... 오잉? 이상헌데?
wuamgrd.exe 라는 프로그램의 CPU 점유율이 90%를 넘어서고 있는 것이었다.
오잉? 이상헌디? 90%를 넘어?
'결국 이놈 땜시 마우스(키보드) 입력속도가 떨어졌다는 야그네~'
'인터넷 라인이 끊어진 것두 이 놈(wuamgrd.exe) 탓?'
일단, wuamgrd.exe - 이놈의 프로그램의 실행을 중지하고 삭제한 뒤...
되살아난 인터넷에 연결해서는 구글(google.co.kr) 연결 'wuamgrd.exe' 이놈을 검색했다.
쩝~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ^^;;;;;
바이러스라니~!!!!!!
그것두 Backdoor 바이러스~~~~~!!!!
나도 모르게, 다른 사람에게 내 컴퓨터를 송두리째 넘겨준 상태였던 것이었다.
아무래두 난 바보가 됐는갑다.
xp 깔구 난 다시 컴맹이 됐는갑다.
98이 그립다.
허지만 이제 98로 되돌아갈 수가 없다.
98에서 만들어진 프로그램이면 거의 xp에서 모두 실행되는데...
내가 지금 만드는 프로그램 중 dll 파일은 그 반대였다.
xp에서 만든 건 98에서 실행되지만, 98에서 만든 건 xp에서 에러를 내기에...
이제 98로 되돌아갈 수 없다.
어쨌든 난 xp가 싫어~~~~~~~~~~~~~~~~~!!!!!
======================================================================
*참고 사항 : WebDAV를 사용하는 IIS 사용자만 해당 되지만, 윈도우2000
서버급 이상에서는 자동으로 Enable되어 있다. 그러므로 IIS를 사용하지 않더라도 윈도우2000 서버급 이상을
사용한다면 서비스팩 4이상이나 MS03-007 패치를 적용해야 한다.(MS03-007 보안 패치에 문제점으로 인하여
MS03-013를 적용한다.)
3. IPC$(관리자) 패스워드 취약점(유추하기 쉬운 패스워드로 인한 감염)을 이용한다. IPC$ 공유를
악성코드가 이용할 수 있는 까닭은 시스템 관리자 패스워드가 설정되어 있지 않거나 간단하게 설정되어 있기 때문이다. 그러므로
반드시 패스워드 설정시 길이를 충분히 설정하여 불법적인 접근을 막아야 한다.
IPC$ 공유를 확인하는 방법과
패스워드 설정에 대한 자세한 사항은 아래의 정보를 참고하길 바란다.
- 감염된 PC가 노출되어 외부에서도 원격 제어가
가능하다. - IRC 클라이언트 제어 - 트로이 목마의 설치 - 이미 설치되어 있는 트로이목마의
업데이트 - 다른 IRC 채널로 트로이 목마 전송 - 특정 파일의 다운로드, 업로드 및 실행, 삭제
- 시스템 정보, 네트워크 정보, 키로그, 게임 시디키 빼내가기 - 웜 제작자가 명령하는 임의의 IP
Address와 포트로 PING, ICMP, TCP, UDP, SYN, DDoS flood -
시스템 재부팅, 로그오프 - TFTP, HTTP Server
<참고자료 - 사용자명과
암호>
- intranet - lan - main - winpass -
blank - office - control - xp - nokia - hp -
siemens - compaq - dell - cisco - ibm -
orainstall - sqlpassoainstall - sql - db1234 - db1
- databasepassword - data - databasepass -
dbpassword - dbpass - access - domainpassword -
domainpass - domain - hello - hell - god - sex
- slut - bitch - fuck - exchange - backup -
technical - loginpass - mary - katie - kate -
george - eric - chris - ian - neil - lee -
brian - susan - sue - sam - luke - peter -
john - mike - bill - fred - joe - jen - bob
- qwe - zxc - asd - qaz - win2000 - winnt
- winxp - win2k - win98 - windows - oeminstall
- oemuser - oem - homeuser - home - accounting
- accounts - internet - www - web - outlook
- mail - qwerty - null - changeme - linux -
unix - demo - none - test - 2004 - 2003 -
2002 - 2001 - 2000 - 1234567890 - 123456789 -
12345678 - 1234567 - 123456 - 12345 - 1234 - 123
- 12 - 1 - 007 - pwd - pass - pass1234 -
passwd - password1 - adm - db2 - oracle - dba
- database - default - guest - wwwadmin -
teacher - student - owner - computer - staff -
admins - administrat - administrateur - administrador
- administrator
[표기법]
- "(윈도우 시스템 폴더)" 란
시스템마다 다를 수 있으며 일반적으로 C:\\Windows\\System (Windows 95/98/Me),
C:\\Winnt\\System32 (Windows NT/2000), C:\\Windows\\System32 (Windows
XP) 이다.
Version 1 : 오후 3:42 2004-05-24 (GMT+9) 분석 보고서 1차
버전 내용이 완성되었다.
치료방법
[바이로봇을 이용한 치료]
1. 바이로봇을 업데이트 하여 2004-05-21.02 버전 이상임을
확인한다.
2. 바이로봇으로 바이러스를 진단/치료 한다.
[수동 치료]
1.
먼저 안전모드로 재부팅할 것을 권장한다. (시스템 재부팅시 F8 을 누르면 안전 모드로 부팅할 수 있다.)
2. 윈도우 탐색기를 사용하여 알려진 파일 형식의 파일 확장명 숨김을 해제한다.
- 예: [도구(T)] -> [폴더옵션(O)] -> [보기] -> 알려진
파일 형식의 파일 확장명 숨김 해제
3. 현재 "wuamgrd.exe" 프로세스가 실행중인지 확인하여
프로세스를 종료한다. [윈도우 작업 관리자] -> [프로세스]
4. 윈도우 시스템 폴더에서 다음 파일을
찾아 삭제한다.
- wuamgrd.exe (파일크기 : 101,376 바이트, 파일속성 : 숨김)
5. [시작] -> [실행] 을 선택한 후 regedit 를 입력한다. (레지스트리 편집기가
실행된다.)
6. 레지스트리 편집기의 다음 경로에 존재하는 값을 찾아 삭제한다.
-
HKEY_CURRENT_MACHINE\\ Software\\
Microsoft\\
Windows\\
CurrentVersion\\
Run
- HKEY_LOCAL_MACHINE\\ Software\\
Microsoft\\
Windows\\
CurrentVersion\\
Run