머리
몸통

시스템 관리 @ 강좌넷/보안

네트워크/보안, 바이러스/악성코드, 서버운영등에 관한 공간입니다.
2991일디지털엔젤[레벨:14] 2013/04/29, 01:47.07


 ★좀비 PC 증상과 해킹툴 삭제하기

 

이번 3.20 전산대란을 겪으면서 '블랙해커'들의 해킹 수법이 날로 고도화,악랄화,지능화 된다는 점이겠습니다

지금 인터넷에 떠돌고 있는 일명 중국발 해킹툴 ***의 경우 시스템에 강력한 어택을 가하면서 유저들의 시스템을 손금보듯 스캔중입니다.  이 해킹툴은  일명  '섭파'라고 불리우는 '서버 파일'은 해커들이 기존의 응용프로그램 셋업파일(steup)에  파일 합치기를 통하여 소위 악성코드를 같이 심어두는 것입니다.

 

 이 섭파를 게임 사이트 혹은 웹하드 공유 사이트에 무한정으로 뿌리면  이 파일을 유저들이 크릭하는 순간 좀비PC 됩니다. 좀비 PC를 '악성 봇'이라고 불리는데 '해커의 원격 조정 PC'가 되는 셈이죠.(이번에 시연하면서 해킹툴을 대부분 청소년들이 섭파를 무한정 뿌려댄다는 것임을 감지 하였습니다 )

좀비 PC되면 인터넷이 느리고 ,웹 브라우저 창이 꺼짐 현상,백신이 실행이 안됨. 시스템이 버벅 거림 현상, 키로깅등을 통한  개인정보 탈취됨등의 현상이 있습니다

 

 1. 윈도우(Ctrl옆에 있는 윈도우 로고) + r키 누르셔서 netstat -nb 라고 치신뒤 확인하세요
   거기서 svchost.exe라고 있으면 좀비PC가 된것입니다

2. 인터넷이 느려지거,인터넷 창이 자동적으로 꺼짐,백신이 실행이 안됨..등등의 현상을 겪고 있다면 90%는 해킹툴이 깔려 있는 것입니다   대부분 섭파를 투척하는 해커들은 주로포트 80을 사용합니다 192,168 뒤에 숫자(녹색부분)에 8080,8000이 나올경우 '좀비PC'에 감염된것이고   8010,12345,5110 이 나올경우  원격에 걸렸을 확률이 높습니다
 *섭파  침입 경로 : 
시스템 32bit 경우 C:\Windows\system 32
시스템 64bit 경우 C:\Windows\system 32  와 C:\Windows\SysWOW64  두곳 동시에 들어갑니다  
   3.좀비 PC 대처법:   
      1)국내 백신 알약,v3와 외국계 백신등 이 중국발 해킹툴에 무용지물입니다 
      2) 보호나라 좀비 PC 감염 사이트 방문http://www.boho.or.kr/kor/check/check_03.jsp
      3) cmd   열어 자주 점검!

       4)최종적으로 안전한 시스템 운영을 원한다면 윈도 OS  포맷후 재설치 요망!

     ※ 이번중국발  해킹 툴 시연결과     '디스크 샷' 은 완벽한 디스크 보호를 해주는 결과를 얻었습니다

 

[※ 키로깅 파일 삭제하기 .서브파일(섭파)와는 상관없다 ]
 시작메뉴→ 실행→  cmd  엔터   cd..  그리고 다시 cd..  한다

       dir usp 10.dll lpk.dll imm32.dll ws2help.dll comres.dll /a /s     을  복사 붙여넣기  엔터
         (※  띄어 쓰기 주의)
            (※삭제 방법) 1분정도 소요후 맨마지막에
    del usp 10.dll lpk.dll imm32.dll ws2help.dll comres.dll /a /s    엔터

(※ 설명:  '엑세스가 거부되었습니다' → 정상파일
             '파일 삭제' → 모두 악성코드 dll 파일 ( usp 10 ,lpk등등) 이걸 다지우면 됩니다

 

자칫  혼돈을 초래할까 염려하여 추가로 올려 드립니다

'파밍'이란 불청객을 퇴출시키기 위해 cmd을 이용하여 한 두번  '키로깅 파일'을 삭제하였으리라 생각됩니다
그런데 win 7과 win 8유저들이 검사해보니 " 어.. 왜이렇게 게시글과 달리 나는 왜 이렇게 많이 나오지?"하고
불안해 하실까봐 다시 올려 드리는 것입니다

 이 문제 때문에 저 역시 win 7과 win 8 모두 갈아 엎고 새로 설치후에 테스트 한결과이고 특히. 정확한 진단

을 위해서 그리고 여기 포스팅을 위해서  '전문 악성코드 회사'에 dll을 파일을 보낸후에  오늘 dll파일 용량

확인 결과를 이멜로 답변이 도착되어서 오늘 포스팅 하는 것입니다.

그런데 무조건 ......
사용자 PC에 존재하는 lpk.dll, usp10.dll 파일명이 존재할 경우 악성 여부와 상관없이 무조건 삭제를 시도하

는 문제로 인하여 Microsoft Windows 시스템 백업 파일, Microsoft Office 관련 파일을 임의로 삭제 시도를

하는 문제로 인하여 일부 문제를 유발할 수도 있습니다.  이점을 유의하셔야 합니다

왜냐하면  lpk.dll, usp10.dll 시스템 파일을 삭제 시도하는 OTP 해킹툴 제거기을 사용하여 번지수도 모르고

마구잡이로 삭제해서는 안되는 것입니다.

 system 32폴더에 들어가서 dll파일 용량을 확인해야 합니다. 그래서 오늘 포스팅하는 이유가 여기 있습니다

 '선무당 사람 잡는다'고 무조건 삭제해서는 안된다는 취지 입니다 ^^*

먼저 xp 경우 입니다
 정상파일과 악성파일은 사이즈에서 확연한 차이를 보입니다
  - 정상 Lpk.dll (대략 22KB, 22,016 바이트)
  - 악성 Lpk.dll (대략 88KB, 89,600 바이트)
  - 정상 Usp10.dll (대략 397KB, 406,016 바이트)
  - 악성 Usp10.dll (대략 88KB, 89,600 바이트)
※ 악성파일인 Lpk.dll, Usp10.dll 파일은 서로 동일한 파일


두 번쨰로 win 7, win 8 경우
(물론 이경우 시스템  win 8 pro k 64 wmc 설치와 업뎃후상태, 오피스 2013 설치한 상태의 시스템 입니다 )
lpk.dll =3kb,    usp10.dll =76kb    imm32.dll -209kb
위 수치는 대략이니 참조 바랍니다.

* 시스템 dll 파일 정상적 갯수( 최초 설치 기준)
  win  7 Ultimate 64
  win 8  pro k wmc 64   

    (32bit 경우)                                    (64bit 경우)     
  lpk.dll  →  2개                                  lpk.dll  →  4개
  imm32.dll → 2개                              imm32.dll → 4개
  ws2help.dll → 2개                            ws2help.dll → 4개
  comress.dll → 2개                            comress.dll → 4개

  32bit → 총8개,  64bit → 총16개가 정상!

Windows System 파일은 Windows XP, Windows7, Windows8 별로시스템 파일의 사이즈 및 기능이 다소 다를 수 있는 점 참고 하시기 바랍니다.

(※ 윈도우 시스템 폴더란 일반적으로 95,98,ME에서는 C:\WINDOWS\SYSTEM 이고, 2000, NT에서는 C:

\WINNT\SYSTEM32, 윈도우XP에서는 C:\WINDOWS\SYSTEM32 이다

(※ 참고로 해킹툴/바이러스 목록은 이러합니다)
usp10.dll    lpk.dll  imm32.dll    ws2help.dll    comres.dll    hgaaaa0.dll      hgaaaa.exe     

MS32DLL.dll.vbs  Autorun.inf        dvwssr.dll          hzdll.dll      pbcon.dl

 

ps.  착오 없으시기 바랍니다 ^^* 1.jpg 2.jpg 3.png 4.png 5.시스템 파일 dll 크기(xp,win 7,8).png 6. 해킹툴에 감염된상태.jpg 7. 보호나라 온라인 좀비PC 감염 확인하기.jpg
ps: 시스템을 '순정본'으로 입방후 '디스크 샷'으로 '봉인'하면 금상첨화이겠죠  ^^*

  

국내 IT업체가 北해커 돕다니…南에 좀비PC 10만 대!

http://www.ytn.co.kr/_ln/0101_201307311106162338
       

[중점] 내 PC, 나 몰래 100원에 팔린다

http://www.ytn.co.kr/_ln/0103_201309021153380909


==============================================================================

ps: 추가

최초설치용량 37kb와 최종설치 용량비교.png

5060일id: 웃는나님[레벨:31]
이 댓글을... 04/29, 06:38

상세히 설명해주셨네요. 수고하셨습니다.

5280일처음처럼™[레벨:31]
profile
이 댓글을... 04/29, 08:55

정보 감사합니다.

 

 

4421일bluesea[레벨:28]
이 댓글을... 04/29, 09:04

PC마다 체크해 봐야 겠네요.

많은 시간 공들여 쓰신거에 비하면 아무것도 아니지만, 드릴 수 있는 것은 추천뿐이군요. ^^

삐쟁이
이 댓글을... 04/29, 16:48

좋은 정보 감사합니다.

4383일희망전달[레벨:30]
profile
이 댓글을... 04/30, 00:48

좋은 강좌 감사합니다.

4472일테우리[레벨:22]
이 댓글을... 04/30, 10:28

좋은 정보 고맙습니다. 전 문제가 없네요^^

2885일mong[레벨:2]
이 댓글을... 04/30, 12:59

친절하고 상세한 설명 감사드립니다.

베루두치
이 댓글을... 05/02, 21:04

감사합니다;;

2853일qwefer[레벨:0]
이 댓글을... 05/05, 03:58

윈7 울티메이트 64비트를 사용중인데 24개나 나오네요.

del로 해봐도 엑세스가 거부되었다고 나오고 imm32 변조확인 프로그램 돌려본결과 손상되었다고 하는데 방법이 없네요 ㅠ

3141일우수란[레벨:20]
이 댓글을... 05/06, 08:45

감사합니다

 

늘미소
이 댓글을... 05/08, 07:37

좋은 정보 감사합니다.

ace2000
이 댓글을... 05/10, 08:07

감사합니다.

3041일이히히[레벨:13]
이 댓글을... 05/11, 23:39

감사합니다

2933일푸른그늘[레벨:0]
이 댓글을... 06/09, 23:08

netstat -nb 쳤느데 왜 cmd 창이 뜨고 바로 닫혀 버리죵.. 이긍.. 요즘 컴터키면 5분정도 하드 입/출력..; 왜 이런거지..

 

dir usp 10.dll lpk.dll imm32.dll ws2help.dll comres.dll /a /s 했는데 c드라이브에 볼륨이 없다고 나오는건 뭐죠ㅠㅠ..

3221일네트[레벨:2]
이 댓글을... 06/10, 18:29

해킹툴 항상 신경 쓰였는데 자료 고맙습니다. 상세히 설명해 주셔서 너무 좋았습니다. 제 컴은 정상이네요.

2841일구래짱[레벨:2]
이 댓글을... 07/31, 22:34

좋은 정보 감사합니다. !!
저도 검사해보니 감염되지 않은걸로 나와서 기쁘네요 ㅎㅎ. (이 상태로 디샷이 저장되어 있다능ㅋ)

 

헌데 64비트 파일갯수 16개 확인하는 부분에서

comress.dll 파일이 맞나요? 제꺼는 comres.dll 파일이 4개가 있던데.. 글내용이랑 달라서 왠지 조심스럽네요.

 

그리고 cmd 창에서 명령어 내리실 때 명령어 뒤에 '>' 명령어를 사용해 텍스트파일로 만들어서 확인하시면 좀 더 도움이 되리라 생각해서 댓글 남깁니다. ^^;;

예)

dir usp 10.dll lpk.dll imm32.dll ws2help.dll comres.dll /a /s > c:\dir.txt

netstat -nb > c:\net.txt

이렇게 하시면 C 드라이브의 루트 디렉토리에 dir.txt, net.txt 파일이 생성되므로 파일 찾기나 프로세스 찾는게 더 쉬울 것 같습니다.

 

2841일구래짱[레벨:2]
이 댓글을... 07/31, 22:37

푸른그늘 님 > netstat -nb 명령어를 혹시 실행 창에서 입력하신게 아닌가 합니다만..

관리자모드로 명령프롬프트(cmd)를 열어서 해보시면 될것 같습니다만..

2188일polize[레벨:0]
이 댓글을... 03/01, 12:03

윈7 홈프리미엄k 64비트쓰고있는데 dir usp 10.dll lpk.dll imm32.dll ws2help.dll comres.dll /a /s 했는데 c드라이브에 볼륨이 없다고 나오고 28개파일이 나옵니다ㅠㅠ

del usp 10.dll lpk.dll imm32.dll ws2help.dll comres.dll /a /s 입력하면 액세스 거부되었다고 나오구요....ㅠㅠ

그리고 구글크롬창 자동 닫김현상은 왜 그런지 알 수 있을까요?

당나구맨
이 댓글을... 04/29, 10:35

좋은 정보 감사...합니다..  제 컴은 안전요!

List of Articles
번호 제목 글쓴이 날짜

15네이버 보안설정 2단계 OTP 인증하기! imagefile [5]

독일 메르켈 총리 도청파문으로 인해 적지 않게 시끄러운데요 사실 미국發 e-mail도 꺼림칙한정도를 벗어나 구글 G메일이 사용자의 메일을 자동 검열하고 있는 실정입니다 ...

2991일디지털엔젤[레벨:14]
2013-10-30
19699
1

14신종 인터넷금융사기 '메모리 해킹'수법과 대처법 imagefile [10]

정말 오랫만에 글을 올립니다 무더위에 지치지 아니하도록 건강에 각별히 유의하십시오. 지난번 해킹의 관련글 .... '좀비 PC 증상과 해킹툴 삭제하기' http://www.disko...

2991일디지털엔젤[레벨:14]
2013-08-16
28514
6

13네이버/다음/네이트 등 포털사이트 로그인 보안 설정 imagefile [8]

안녕하십니까? 즐거운 주말 보내고 계신지요? 에어컨이 쉬지 않고 돌아가는 것을 보니 저의 고질적인 게으름과 운동부족으로 인한 면역력 저하로 냉방병이 예상이 됩니다. ...

5234일지킬박사[레벨:28]
2013-06-22
17578
1
No
Image

12'우려'가 현실로 [10]

인터넷 기술 발달로 인해 컴퓨터 사용자들이 생활의 편리함을 주는 반면에 나쁜 마음을 가진 블랙 해커들이 기상 천외한 방법으로 선량한 유저들의 개인 정보를 탈취하는 ...

2991일디지털엔젤[레벨:14]
2013-06-15
26298
5

11해킹당하지 않는 구글 계정 만들기 imagefile [9]

시사 매거진 852회 단독입수! 北 해커파일 2013-04-21 http://www.imbc.com/broad/tv/culture/sisa2580/vod/index.html 얼마전에 모 방송에서 북한 해커들이 우리나라 제2금융권을...

2991일디지털엔젤[레벨:14]
2013-05-24
19302
0

10오픈 DNS설정하여 인터넷을 빠르게하기 imagefile [4]

OpenDNS는 앨지 파워컴보다는 빠르고 KT보다는 반응속도가 0.5초 느립니다 그런데 실제로는 별차이 없습니다 보안에 신경쓰시는 유저라면 눈여겨볼 필요가 있습니다 바이러...

2991일디지털엔젤[레벨:14]
2013-05-03
14136
1

9좀비 PC 증상과 해킹툴 삭제하기 imagefile [19]

 ★좀비 PC 증상과 해킹툴 삭제하기 이번 3.20 전산대란을 겪으면서 '블랙해커'들의 해킹 수법이 날로 고도화,악랄화,지능화 된다는 점이겠습니다 지금 인터넷에 떠돌고 ...

2991일디지털엔젤[레벨:14]
2013-04-29
40023
7

8Avast의 AdBlocker (크롬/파폭/IE) imagefile [6]

3월3일 어베스트가 8로 업그레이가 되었습니다. 메뉴와 환경설정 화면이 획기적으로 바뀌었네요. 그 외 소소한 기능도 변화가 있는데 그중 Ad-Blocker라는 기능이 신설되었네...

4407일호롱이[레벨:16]
2013-03-04
15349
2

7신종 금융사기 파밍 예방프로그램 '파밍캅' imagefile [12]

(※ SBS-TV에서 방영되었던 신종 금융사기 파밍에 대처하는 프로그램입니다) http://news.sbs.co.kr/section_news/news_read.jsp?news_id=N1001633748 파밍캅 프로그램 소개영상 ...

2991일디지털엔젤[레벨:14]
2013-02-16
15519
0
No
Image

6TureCrypt 볼륨헤더 백업/복구 테스트 [1]

강좌라고 할거 까지도 없고 그냥 허접 사용기인데요. 트루크립트 (이하 tc)는 제 컴의 몇가지 패스워드나 보안 관리툴에서 가장 신뢰를 하는 프로그램인데요. 그래서 볼륨 ...

4407일호롱이[레벨:16]
2013-02-07
13507
0

5igmp와 멀티 캐스팅 imagefile

igmp라는 말을 요새 많이 듣게 됩니다. igmp는 internet group management protocol 입니다. 멀티캐스트 호스트와 라우터 사이에 동작하는 방식으로 라우터는 호스트에게 멀...

3400일앤디[레벨:7]
2012-12-17
15792
0

4PCRat에 의한 PC방 원격 PC 해킹사례 imagefile [25]

제가 관리 하는 PC방에 점검 나갔다가 우연히 발견 하게 되어 정보를 공유 하고자 글 올립니다. 한대의 손님PC가 정상 종료 되지 않고 멈춰 있길레 이상 하다 싶어 ...

5056일블론디[레벨:15]
2011-10-29
34696
2

3PsExec를 이용한 원격 작업에 관하여.. imagefile [11]

안녕하세요? 지킬박사입니다. 저녁이 되니 살짝 쌀쌀합니다. 내일은 비가 올수도 있다고 하던데.. 건강한 주말 보내시길 바랍니다. 비혈님께서 게시판에 질문을 주셔서 답변...

5234일지킬박사[레벨:28]
2011-04-21
28380
1

2AP 보안설정 어떻게 할 것인가? imagefile [24]

최근 [무선랜 ‘구멍 뻥’.. 5초만에 ID·비번 ‘줄줄’] 기사 링크를 올린 적이 있습니다. 또한 우리 디스쿨에서도 단연 자주 거론 되는것이 보안 문제입니다. 따라서 ...

4421일bluesea[레벨:28]
2011-01-07
24703
5

1최근 유행중인 Win32/Parite.B 바이러스에 관하여.. imagefile [21]

안녕하세요? 지킬박사입니다. 며칠째 디스쿨이 상당히(?) 한산한 것 같습니다. ㅋ 디스쿨이 활기차고 생동감 있기를 바라지만, 다들 바쁘시고 각자의 위치에서 열심히 일하시...

5234일지킬박사[레벨:28]
2010-10-22
26013
1
꼬리
전체메뉴
전체메뉴
닫기