kr.jpg.scr

이 악성코드가 백신으로써 처리되지 않는 경우에 대처법을 간단히 포스팅으로써 리포팅해보았습니다 . 백신으로 해결 불가하거나 본 포스트의 내용으로 처치가 곤란하신 분들은 아래 관련 글을 보아 주시기 바랍니다. 관련 글 보기 2009/03/02 - [카테고리外] - kr.jpg.scr에 대한 대처법

테스트를 실시한 환경은 Windows XP SP2 Professional 입니다.

메신저를 통하여 아래의 링크가 온다고 합니다. (물론 게시판, 이메일등에서도 아래의 링크를 클릭하여서는 아니되며, 다른 링크로도 유포될 가능성이 보입니다 . 메신저에서 함부로 링크를 클릭하는 일은 없어야겠습니다.) 링크는 제거되었습니다(2022년 11월 메모).

위 링크를 클릭시 다운로드되는 파일의 정보 다음과 같습니다.

kr.jpg.scr  (이 파일의 다운로드 사이트 명은 위에 보인 보내지는 링크와는 다른www.sslfs.com입니다 .)

File size: 175952 bytesMD5...: cac12a0f399fa1ae71fd394a307a57c5

 kr.jpg.scr  이 시스템에 준 변화 사항입니다.

파일 생성

도큐먼트 & 셋팅스\현재 사용자\Application Data\Microsoft\Windows\Themes\Custom.theme %TEMP%\RarSFX0(폴더 밑으로 아래 파일 생성)        gdd.exe          gmm.exe          j8j8.jpg          ssdd.exe

레지스트리 생성

[HKEY_CURRENT_USER\Control Panel\Desktop] "SCRNSAVE.EXE"="C:\kr.jpg.scr파일이 실행된 폴더명\KRJPG~1.SCR"

참고 : %TEMP%를 열기 위해서는
         시작>실행에서 %TEMP%라고 치고 엔터하시면 됩니다.

위에서 생성된 4개의 파일은 각각 실행되면
아래 기술되는 특정 활동들을 한후 소실됨.

아래에 각각의 파일들에 대하여 살펴봅니다.

gdd.exe의 실행이 시스템에 준 변화

파일 생성

C:\WINDOWS\System32\Advapi32.test C:\WINDOWS\System32\hf1109.dll C:\WINDOWS\System32\hf1109.exe

레지스트리 생성

[HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion \policies\Explorer\Run] "HF"="C:\WINDOWS\system32\hf1109.exe"

gmm.exe의 실행이 시스템에 준 변화

파일생성

C:\WINDOWS\System32\rrr.msc C:\WINDOWS\System32\ttt.msc C:\WINDOWS\System32\twulin.dll C:\WINDOWS\System32\wulin.dll C:\WINDOWS\System32\drivers\xixi.msc

ssdd.exe 의 실행이 시스템에 준 변화

파일생성

C:\WINDOWS\System32\coinme.exe C:\WINDOWS\System32\serfarcpr.dll

j8j8.jpg 의 파일정보

j8j8.jpg (햄스터가 빵부스러기 들고 서있는 모습의 사진입니다 )

File size: 13774 bytes MD5...: 088561bc12013886db351cb32f12f6b9

---

 

이제 kr.jpg.scr이 생성한 네 개의 파일들의 활동 결과로 생성된 파일들 중

위에서 보라색 굵은 글자로 표시한 파일들에 대하여만 살펴 보기로 합니다.
(나머지는 시스템에 크게 악영향은 안 주는 듯 합니다.)
(다시 말씀드리지만 kr.jpg.scr이 생성한 네 개의 파일은 위 활동을 한 후 소멸되어
시스템에 존재하지 않습니다.
수정합니다.^ ^ j8j8.jpg은 시스템에서 없어지지 않고 위에서 설치된 화면 보호기
실행시 마다 출력되는 것으로 보입니다. 또한 이 화면 보호기는 실행 시마다
임의의 수자 명의 배치 파일(.bat)을 생성해 자기가 낳은 새끼(?)들을 실행시켜 주는 것으로 여겨집니다. )

---

감염된 시스템은 화면 보호기에
kr이란 보호기가 추가됩니다.

---

현재 kr.jpg.scr 이 실행되버렸을 시 진단이 되어야 할 10개의 파일들 중
알약은 5개, V3 Lite는 7개를 진단중입니다 (둘 다 2월28일 엔진).

그런데 보시면 kr.jpg.scr 은 두 백신 다 진단 중이므로
두 백신 사용자는 최신 엔진 버젼의 실시간 감시를 활용하시는 것이 예방책입니다. 

아래는 V3 Lite 검사창을 세부 표시한 것입니다.

---

관련 글 보기 2009/02/02 - [유용한 팁들] - 레지스트리 항목(.reg) 파일 사용법 (알려진 삭제될 레지스트리 키/값으로 손쉽게 삭제해 보려할 때 참조 사항.) 2009/02/04 - [유용한 팁들] - movefile 활용 (삭제되지 않는 파일 삭제하기.) 2009/02/05 - [유용한 팁들] - 바이러스 검사 - Virus Total / VirScan (파일 정보 손쉽게 알아보기.)