본문 바로가기
조치 가이드

GSPI + 숫자로 이루어진 VBS/Autorun 악성코드 대처법

by 알 수 없는 사용자 2010. 9. 15.

 1. 서론
 VBS 악성코드는 wscript을 이용하기 때문에 작성이 용이하여 높은 감염률을 보이고 있습니다. 이러한 VBS악성코드 중 특정 레지스트리 값을 변경하여 컴퓨터 사용에 장애를 유발하는 GSPI라는 이름의 악성코드에 대한 증상과 치료법에 대해 알아보도록 하겠습니다.


 2. 악성코드 감염 시 나타나는 증상

1) 여러 폴더에 자신을 복사해 놓습니다. 아래 그림은 악성코드가 실행됨과 동시에 wscript에 의해
      생성되는 파일입니다. 자기 자신을 Root폴더에 복사하는 것을 볼 수 있습니다.
 



   2)
레지스트리의  Run에 자신을 등록시켜 Windows 시작 시에 자동 실행이 되도록 합니다.  

  



   3) Internet Explorer
의 기본 Title의 값인 Windows Internet ExplorerGSPI로 변경합니다.



 

4) Registry 값을 변경해 엑세스를 거부하여 사용자가 레지스트리 편집기를 사용하지 못하도록 합니다.

 



   5) 기타 레지스트리 값을 변경하여 Internet Explorer의 정상적 사용이나 정상적인 부팅을 방해합니다.
     
다음은 VBS로 작성된 해당 악성코드 파일을 edit창으로 확인한 코드입니다.

 

  

 

3. 감염 시 차단 및 예방 방법
   (V3 이용)

 최신 스마트 업데이트 후 V3의 정밀검사를 통해 악성코드를 치료합니다. 복사되어있던 모든 악성코드가 삭제되고 레지스트리 편집기 엑세스 거부를 해제하는 것을 볼 수 있습니다. 


 

4. 감염 시 차단 및 예방 방법
   (
백신으로 치료가 불가능할 경우 수동 조치방법)

 GSPI+숫자와 같은 VBS/Autorun 악성코드의 경우 무수히 많은 변종이 존재합니다. 따라서 백신을 이용하여도 치료가 되지 않는다면 다음의 수동 조치를 따라주시기 바랍니다.

 

1) 활성화 되어있는 wscript를 종료합니다.



2) 레지스트리 편집기의 엑세스를 거부를 해제시킵니다.
  
다음 파일은 안철수연구소에서 제공하는 유틸리티로써 악성코드가 변경한 레지스트리 정보를 수정하는
   프로그램 입니다.
   레지스트리 엑세스 허용 이외에 여러가지 변경된 레지스트리 값을 기본값으로 수정해 줍니다.
   http://download.ahnlab.com/vaccine/v3curereg.com


3) 레지스트리 편집기로 들어가 아래에 값을 수정 또는 삭제합니다. 

   레지스트리 편집기는 시작->실행->regedit의 순서로 들어갑니다.


"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet
Settings\ProxyEnable", 1, "REG_DWORD"

 → 0으로 변경


 

"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer", "0.0.0.0:80"

"HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel\Connection Settings\Connwiz Admin Lock", 1, "REG_DWORD"

"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\MSConfig"

"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSConfig”


  → 키 삭제



4) 악성코드에 대한 치료가 아직 이루어진 것이 아니므로 의심 파일 또는 AhnReport를 저희에게 보내주시기 바랍니다.

 

 

5. 분석 에필로그
 GSPI+숫자 악성코드는 숫자부분만 다른 무수히 많은 변종 악성코드로 존재합니다. 하여 V3로 치료가 되지 않는 경우가 발생할 수 있습니다.

그러므로 관련파일을 아래의 링크를 통해 저희에게 보내주시면 빠른 엔진대응을 통해 치료가 가능합니다.

http://kr.ahnlab.com/info/customer/virus_call_new_renew.jsp?svccode=ac6001&contentscode=007

 

 

감사합니다^^)/


                                                                                                                                          -SukSuny
 
                                                                                                                                          -dada319

댓글