실제 저도 여러번 경험 했습니다.
와우메카 사이트 몇몇 페이지의 경우 트로이 바이러스가 깔려 있으며, 이는 계정 해킹등에 악용되는 바이러스입니다.
이와 같은 악성 바이러스는 실제 게임 계정등을 탈취하는 트로이들로써 몇몇 백신 프로그램에 검출 되지 않는 경우도 많습니다.
아래 글을 저희 서버 어떤분이 올리신 내용입니다.
--------------------------------------------------------------
안녕하세요, 이오나 얼라이언스 전사 천검입니다.
오늘 이오나 얼라 섭에 화심골드닌자(공대장) 사건이 발생하였습니다.
그리구 그 원인이 해킹이었다는.. 반론이 제시된 가운데..
제 경험담 입니다.
최소 06년 11월30일날... 와우메카를 접속한 1분여후쯤 사용중이던 피시가 윈도우 로긴후
재부팅(무한) 되는 현상이 발견되어, 안전모드에서 이리저리 진단해본결과
시작프로그램에 ntsys 라는 부분이 추가되어 있고, 확인결과 트로이(해킹) 일종임을 확인
하였습니다. 그당시 안철수 사이트에 의하면 최초 발견일이 06.11.28일 이었으며..
최신 백신으로 치료가능하다고 설명되있지만 치료는 되지 않았고, 시작프로그램 삭제와
ntsys 파일삭제로 임시처리한후 재 사용중..
07년 1월 9일 또다시 와우메카에 접속하여.. 티어6셋 메인기사를 보고 난후
또다시 동일한 상황을 겪게 되어 심도 있게 분석작업과 확인을 해본결과..
내린 결론 입니다.
1. XP보안업데이트가 일정수준 이상 설치되어 있지 않은 피시에서, 와우메카 접속시
파일 자동 설치 됩니다.
2. 안철수측에 의한 이 악성코드명은 Win-Dropper/PWS.KorGameHack.46244 입니다.
3. 이 트로이 목마에 감염시, 생성되는 파일명은
C:\TEMPDIR%\dos.dll C:\WINDOWS%\msdos.bin C:\WINDOWS%\ntkros.dll
C:\WINDOWS%\ntsock.exe C:\WINDOWS%\ntsys.exe
등입니다. (숨겨져 있으니 폴더옵션에 숨겨진파일보기 를 선택하셔야 보입니다.)
4. 시작-실행-msconfig-시작프로그램 에 ntsys 또는 lsass 가 상주 되어 있습니다.
(lsass는 좀 다른 부분입니다만.. 충분히 트로이로 의심할 수있는 부분입니다.)
5. 증상으로는 윈도우 시작과 함께 리셋버튼을 누른것처럼 재부팅 되는 무한루프 현상입니다.
6. 또다른 증상으로는 시작을 눌렀을시 떠야하는 목록이나 시작-모든프로그램 에서 떠야하는
목록이 힌색처리되어 글씨가 전혀 보이지 않을때도 있습니다.
7. 컨트롤 알트 델 키를 눌러 [윈도우 작업 관리자] 창을 띄운 후 프로세스 란에 보면
ntsys 또는 ntsock 가 실행중입니다.
위의 7가지중 1~2가지라도 해당된다면 트로이에 이미 노출되어 있으며 ,
일반적인 트로이와 마찬가지로 ..윈도우시작시 자동 실행되며, 이후 피시에서 타이핑
되어지는 모든 정보를 텍스트 파일로 저장하고 이를 특정 메일로 전파합니다.
(문서속에 무수히 나열된 전혀 알아볼수 없는 엄청난 분량의 영어알파벳속에 [tab] 을
검색하여 그앞쪽에 타이핑 되어진게 아이디 뒷쪽은 비밀번호..로 추려낼수 있습니다.)
요 근래 와우 플레이중 아이디 비번입력란으로 순간 접속종료가 되었다면(계정 이중
접속시 생기는 현상입니다.) 자신의 피시가 트로이에 노출되었던 적이 있을 확률이
높습니다. 위의 항목을 꼼꼼이 체크하여 .. 진단후 노출되었다면 치료후 비번을
바꿔야 할것입니다.(치료가 되지않은 상황에서 비번번경시 , 그때 입력하는 다수의
개인정보,주민번호등까지 함께 노출되버려 계정의 소유권자체가 넘어갈수 있습니다.)
치료방법
일단 제가 확인한바로는 v3 2002 ,2004 버젼(최신업데이트)으로는 검색조차 되지 않습니다.
그 이후 버젼 확인은 안해봤으나 아마 안될것으로 생각됩니다.
제가 한 치료방법은 spy zero 라는 안철수회사표 악성코드 제거 프로그램을 설치후
(구하는 방법은 p2p 사이트에서 검색후 다운받아 시리얼넘버 없이 설치하면
평가판이란 명목하에 무한사용할수 있습니다.다만 이전에 설치하셨던 v3 무한 업데이트
공짜판 프로그램은 사용이 불가합니다.이유는 스파이제로 업데이트때 기존 설치되있는
v3 프로그램이 정품인지 아닌지 판별합니다.)
검색하여 악성코드 제거후 재부팅 그후 위에 드롭된 파일들을 수동으루 찾아 제거하는
방법입니다.
악성코드 제거후 스파이제로 실시간 감시 구동중임 에도 와우메카 접속시
어제까지 100% 다시 재감염되는 것을 확인하였으며 . 확인을 위해 타사이트 접속과
와우메카를 병행한결과 와우메카 접속시 감염임을 확인하였으며, 그이후
와우메카는 접속하고 있지 않습니다.
제가 생각 하고 확인한 부분이며, 그렇기에 잘못된 정보나 설명이 포함되어 있을수
있습니다. 하지만 적어도 같은섭내 이오나유저 분들 만이라도 속는 셈치고
한번 확인하여 , 또다른 해킹의 피해가 생기지 않았으면 합니다.
헤헤
디아3