kr.jpg.scr에 대한 대처법

제가 악성코드를 분석하면서
정보를 드리고
제거에 대한 힌트까지는 드려도

일단은 저의 귀찮니즘때문에
해결법까지 제시하는 일은 거의 없습니다만,

kr.jpg.scr 이 것은.......

이 포스트를 올린 후에
어제 제 286회의 방문자중 100회 가까이가

kr.jpg.scr란 검색어를 타고 들어온 것으로 보입니다.

아마도 널리 확산중인 것으로 보여서 제가
파악한 데로 기본적인 대처법을 알려드려 봅니다.

우선 이 악성코드에 의한 것 대다수는
V3 Lite에 의하여 제거됩니다.
물론 어제까지의 엔진에 의한 경우입니다.

오늘은 혹시 또 모르겠습니다만......
kr.jpg.scr에 의하여 설치된 것은 이제 모두 제 시스템에서 제거되고
kr.jpg.scr은 제 샘플 창고로 모셔진 마당에
도로 풀어서 설치하고 백신의 검색율만을 본다는 것은
역시 제 귀차니즘이 용인 안합니다 _ _

아래 관련 글 보시면
2월 28일자 엔진에서
V3 Lite가 대다수 제거중입니다.

관련 글 보기 2009/02/28 - [Malwares 분석] - kr.jpg.scr

그러나 V3 Lite등 백신으로 해결 안되는 경우에 대하여
간단히 안내해 봅니다.

아래 링크에서

https://learn.microsoft.com/ko-kr/sysinternals/downloads/autoruns

Windows 자동 실행 - Sysinternals

Autoruns를 다운로드 받습니다.

다운로드 받은 압축 파일중 Autoruns.exe를 실행합니다.

그림 1.

(이 그림은 위 Autoruns 링크에서 따와 가공하였습니다.)

①이라고 표시된 부분이 ready라고 변할 때까지 잠시 기다립니다.
(보시면 현재는 Scanning입니다 .처음 실행하고 설정 스캔 시간이 30초정도 걸립니다.)

이제 레디 상태가 되었으면 가장 먼저
아래 그림에서 보여드린 항목을 아래 그림처럼 uncheck하시기 바랍니다.

이게 제일 중요한 일입니다.
이 스크린 세이버가 실행될 때마다
임의의 수자명 배치 파일이 생성되면서
재감염 / 재감염 시키는 것으로 보입니다.

주의하실 점은 FORTE~1은 제 시스템에서만 그렇게 표시되는 것이고
여러분 시스템에서는 다르게 표시되므로
kr.jpg.scr 즉 , KRJPG~1.SCR을 기준으로 찾으시기 바랍니다.

이제 아래 항목을 찾아서 언체크하시기 바랍니다.

 

하셨으면 이제 아래 파일들을 시스템 32에서 삭제합니다.

hf1109.dll hf1109.exe  twulin.dll wulin.dll coinme.exe serfarcpr.dll

 

만약 삭제되지 않는다면,
안전 모드에서 삭제를 하세요.

첨언입니다 : kr.jpg.scr도 지우셔야 하며 ,
                그 경로는 위 Autoruns에서 확인이 되니
                이 역시 삭제 불가 시는 안전 모드에서 삭제하세요.

위에 소개해드린 대로 다 했으면 시스템을 재부팅해 봅니다.

재부팅시 삭제된 파일들의 레지스트리 정보는 남아서
"어떤 파일 찾지 못한다는" 오류 창이 뜰 수 있습니다 .

이런 경우에는 다시 한번 autoruns를 실행해
그림 1 .의 ②로 박스친 부분을 보시면

File not found 라고 써진 줄들이 있을겁니다 .

그런 줄 앞의 체크는 모두 해지하시기 바랍니다.

만약 이렇게 해서 오류가 해결이 안된다면
위에서 삭제한 보라색 파일들의 이름으로
레지스트리 편집기에서 검색을 해서
뜨는 값들을 지우셔야 합니다.

주의 : 레지스트리를 건드리는 작업은 잘못하면 시스템이 작동 불가 상태가 될 수 있습니다.
         그런데 autoruns는 시스템의 가장 주요 레지스트리들을 건드리는 도구입니다.
         작업 전에 꼭 잘 이해하시고 작업하시기 바랍니다.