본문 바로가기

조치 가이드

폴더가 바로가기 아이콘으로 : ADS 형태로 실행되는 VBS/Autorun

최근 ADS(Alternate Data Stream)의 형태로 실행되는 VBS/Autorun 악성코드의 감염에 의한 피해가 꾸준히 발생되고 있습니다.

 

ADS(Alternate Data Stream)에 대한 정보는 아래의 링크를 참조하시기 바랍니다.

링크 : NTFS 파일 시스템의 숨겨진 영역



1. 감염증상

- 각 루트 드라이브(C:\, D:\, …)폴더들이 바로가기파일의 형태로 확인


 


-
바탕화면의 [내 컴퓨터]를 실행하여도 반응이 없음


-
레지스트리 편집기(Regedit.exe) 툴이 실행 후 바로 종료되는 등의 증상 발생



2. 생성파일 및 레지스트리 정보

- 아래의 파일이 생성

각 루트 드라이브에 [10자리 숫자].vbs, autorun.inf
%Windir%\explorer.exe:[10자리 숫자].vbs

%Systemroot%\system32 \smss.exe:[10자리 숫자].vbs


- 레지스트리 정보

bat, chm, cmd, hlp, inf, ini, reg, txt 파일들에 대한 연결 파일 변경 등



3. 조치방법

 위의 증상을 포함하는 악성코드에 감염된 경우, 각종 레지스트리 값의 변경으로 인해 사용자들께서 수동으로 조치하기에는 어려움이 있을 것으로 판단됩니다.

 

따라서, 안철수연구소에서 제공하는 ADS 전용백신을 이용하여 진단/치료하시기를 권해드립니다.


다운로드 : ADS 전용백신


전용백신으로 진단/치료를 완료하신 후에는 V3제품을 최신엔진으로 업데이트하신 다음, 수동 검사(정밀 검사)를 통한 시스템 전체 검사의 수행을 권해드립니다.

 

  • 요시 2010.02.25 21:58 댓글주소 수정/삭제 댓글쓰기

    감사합니당^^

  • bradly1 2010.02.26 10:09 댓글주소 수정/삭제 댓글쓰기

    V3 365, ADSSpy, ADS전용백신으로 치료를 해도 temp폴더에 감염이 되서 계속 돌려도 치료가 안되네요...;;

    무슨 이유일까요?? (검사하면 또 ADS로 감염되어있어요...;;)

    • 정확한 확인을 위해서는 시스템 정보 파일이 필요합니다. 블로그 상단 메뉴에 [바이러스 신고센터]로 접속하셔서 문의 주시면 자동으로 리포트가 접수되오니 신고센터로 접수 해주시기 바랍니다.

    • bradly1 2010.02.27 11:48 댓글주소 수정/삭제

      그러면 ADS에 감염되어 있는 파일을 보내면 되요? 아니면 ADS내에 파일을 추출해서 보내야 해요??

    • bradly1 2010.02.28 16:09 댓글주소 수정/삭제

      아니요...

      저의 경우는 바이러스 신고센터에서 ActiveX사용이 안되서 파일을 직접 업로드 하려고 하거든요...;;

      그래서 이렇게 질문을 드리는 거에요...

  • ActiveX 사용이 안된다면 http://core.ahnlab.com/35 글 참고하셔서 신고 부탁 드립니다.

  • e한일 2010.03.07 10:19 댓글주소 수정/삭제 댓글쓰기

    v3, 알약, ms에센셜 까지 다해봤지만 해결이 안되어서 이렇게 글을 남깁니다.

    현재 내부에 자료실서버를 따로 두고 있습니다. 어제(3.6 토) 오전에 어디를 통해서 바이러스가 들어왔는지 모르겠지만 서버뿐만 아니라 개인 컴퓨터까지 다 걸린것 같습니다.
    개인 컴퓨터에서 바탕화면에서 내컴퓨터를 열면

    Windows Script Host -> 스크립트 파일 "C:Windows\explorer.exe:1986900223.vbs"을(를) 찾을 수 없습니다.

    이런 메시지가 나옵니다. 그리고 내컴퓨터는 열리지 않습니다.
    그리고 서버에서는 바로가기 아이콘만 나와서 임시로 숨겨진 폴더 보기로 해서 열고 있습니다.
    서버에있는 678048940.vbs 파일과 autorun.inf 파일 2개가 지워도 재생성되고, 치료를 해도 안됩니다. 어떻게 해야할까요. 다른컴퓨터에서도 치료가 안되고 있습니다.

    • 해당 글에 안내해드린 전용백신으로 검사해보신건가요? 만약 검사하셔도 진단되는 항목이 없다면 상단에 바이러스 신고센터 메뉴를 이용하여 신고주시면 확인 후 답변 드리겠습니다.

    • e한일 2010.03.07 11:37 댓글주소 수정/삭제

      신고센터에 신고 했습니다. v3라이트에서는 잡지 못해서 ms에센셜 캡쳐했습니다. 또한 생성되어 있는 파일도 같이 이미지로 올렸습니다. 수고하세요.

    • 나의 지식 2010.03.09 11:31 댓글주소 수정/삭제

      1 대 컴퓨터에 V3 와 알약 ,ms에센셜 설치 하면 충돌 발생 하여 정확 하게 진단 할 수 없고 치료/삭제도 할 수 없고 미리 예방도 할 수 없어요

      V3 와 사이트 가드 추가로 설치 해야 합니다
      그래야 위험 사이트 미리 알 수 있고
      안전 하게 다운로드 및 설치 할 수 있어요

      V3 Lite 사용자는 사이트 가드 추가로 설치 하면
      무료 백신 사용 못 하게 하는 악성 바이러스 미리 차단 할 수 있어요

      윈도우 방화벽 보다 개인 방화벽를 설치 하고 사용 하세요

      윈도우 취약점을 보호 하는 보안 패치도 순서 대로 모든 윈도우 보안 업데이트 설치 하고
      익스플로러 8 업데이트 설치 하고
      익스플ㄹ러 8 의 최신 윈도우 보안 업데이트 설치 까지도 완료 해야 만 합니다
      익스플로러 8 의 도구--인터넷 옵션--보안/개인 정보에서도 중요한 보안 설정 있고
      사이트 회원 가입 필요한 경우에만 기본 수준으로 설정 하고 명상시에는 보안 강화 해야 합니다

      백신 설치 하고 환경 설정에서 PC실시간 검사 설정,정밀 검사 설정,예약 검사 설정,업데이트 설정,기타 설정,개인 방화벽 설정,네트워크 침입 차단 설정 ,,등등에서 체크 하고

      안전 모드(네트워킹)를 실행 하여 백신 최신 업데이트 부터 하고
      백신의 모든 파일,모든 압축 파일 검사로 정밀 검사를 해야 합니다

  • subidesign 2010.04.08 16:03 댓글주소 수정/삭제 댓글쓰기

    감사합니다. 정밀검사까지 마치고 치료를 다했습니다. 그런데 바로가기로 바뀐 폴더는 그대로인데요.;; 어떻게 해야 원래 폴더로 바꿔놓죠!? (일단 바로가기 '속성'에서 대상 주소를 바꿔서 사용하고 있습니다.)

  • ask 2010.04.16 01:27 댓글주소 수정/삭제 댓글쓰기

    전용백신 설치를하는데 엔진 초기화에 실패했다구 뜨는데

    이거 어떻게해야하나요 ㅜㅠ

  • chk1103 2010.04.28 02:40 댓글주소 수정/삭제 댓글쓰기

    아 ㅠㅠㅠㅠㅠ 바이러스 없애긴햇는데
    폴더 다날라가네요 ?? ㅠㅠㅠㅠㅠㅠㅠㅠ 폴더복구는안되나요??

    • 기존에 보유하고 계시던 자료는 삭제된 것이 아니라 악성코드가 숨김 속성으로 변경을 하여 보이지 않는 것입니다.

      [내컴퓨터] - [도구] - [폴더옵션] - [보기] 메뉴에서 "숨김파일 및 폴더 표시" 부분에 체크와 "보호된 운영체제 파일 숨기기" 항목은 체크를 해제하고 [확인] 버튼을 눌러 확인해 보시기 바랍니다.

    • 이영탁 2010.08.17 03:17 댓글주소 수정/삭제

      [내컴퓨터] - [도구] - [폴더옵션] - [보기] 메뉴에서 "숨김파일 및 폴더 표시" 부분에 체크와 "보호된 운영체제 파일 숨기기" 항목은 체크를 해제하고 [확인] 버튼을 눌러 확인해 보시기 바랍니다.

      이렇게 했는데도 폴더가 다 바로가기 그상태에 있습니다 어떡해야되나요

  • winter 2010.05.01 13:31 댓글주소 수정/삭제 댓글쓰기

    Fail to initialize(AHNDCTRL.dll)이라고 나오면서 전용프로그램 실행이 안되네요ㅠㅠ
    vbs치료해야 되는데 가능한 백신이 이것뿐인가요?

    • winter 2010.05.03 13:21 댓글주소 수정/삭제

      v3 365평가판도 신청해서 정밀검새 해봤는데 안되네요
      방법이 없을까요ㅠ_ㅜ

    • 블로그 상단 메뉴에 [바이러스 신고센터]로 접속하셔서 문의 주시면 자동으로 리포트가 접수되오니 신고센터로 접수 해주시기 바랍니다.

  • 어제 c만 포맷을 했는데 d드라이브가 1번 증상처럼 나타나네요
    전용백신 돌려봤는데 감염된파일이 3개가 나왔습니다
    근데 그 중에 1개도 치료가능하지 않아요

    치료하기 누르면
    1.[검사설정]의 치료방법을~~~
    2.이미 치료한 경우
    3. 치료를 할 수 없는 경우

    일케 뜨네요..어떻게 해야되죠?

    • 블로그 상단 메뉴에 [바이러스 신고센터]로 접속하셔서 문의 주시면 자동으로 리포트가 접수되오니 신고센터로 접수 해주시기 바랍니다.

  • 수정 2010.06.09 00:42 댓글주소 수정/삭제 댓글쓰기

    엔진 초기화에 실패했다고 하는데 어떻게 하죠 ㅠㅠ

  • 켈타 2010.06.09 14:57 댓글주소 수정/삭제 댓글쓰기

    위에 올려주신 v3ads 프로그램 다운받고 실행하려하니 초기화에 실패했다고 뜨네여
    faild to initialiize 라는 말이 뜨면서 안되네영...ㅜ.ㅜ

    • 메롱 2010.06.10 13:20 댓글주소 수정/삭제

      저도 그런다는 ㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠ

    • 지나 2010.06.11 09:19 댓글주소 수정/삭제

      administrator 계정으로 로그인을 해서 실행을 해보세요. 드라이버가 깔려야 하는데 권한 문제나 다른 문제로 인해 그럴수 있을 것 같습니다.
      관리자 권한으로 로그인이 되어있어도 약간씩 차이가 있더라고요

  • 불쏘시개 2011.03.22 10:33 댓글주소 수정/삭제 댓글쓰기

    프로그램으로 검사했는데 바이러스 파일은 안나오고요....
    대신 숨긴 폴더 공개로 하니 사라진 파일들을 이용할수는 있는데요...
    ㅠ0ㅠ 어떻게 하죠... 알약으로도 안잡히고,
    v3는 깔리지도 않고요...
    포멧하기는 싫은데요 ㅠㅠ