소모임 & 잡담
![[레벨:0]](http://old.lameproof.com/modules/point/icons/default/0.gif "포인트:33point (36%), 레벨:0/30"){kind=icon}
리버스엔지니어링windows\system32 폴더 이외에 저 파일들이 존재한다면
64비트 OS쓰는분의 감염증상은 아직 들어본적 없으니 신뢰는 안갈수있습니다.
여러분들의 온라인게임 계정은 무사하지 못할것입니다
바이러스명
트로이목마.PSW.OnlineGames3.ABCM
감염 증상
1. 게임중 렉이 발생되며 리소스 잡아먹고 온라인게임 계정 해킹위험 노출
2. 알수없는 중국사이트로 하이재킹 당한다. (예: www.caonima.cn)
시작페이지를 네이버로 해도 짱개사이트로 하이재킹 당함
3. cmd.exe,rar.exe 같은 수상한 프로세스가 16개씩이나 번식한다
숙주제거 치료법은 아직 공개는 안된듯 하지만
응급처치법
시작 -> 실행 -> cmd 치고
c:\로 이동후 (도스명령어는 여러분 다 아실거라 보고)
c:\dir usp10.dll lpk.dll /a /s로 검색합니다.
*참고 32비트 OS 정상 파일 CRC
USP10.DLL (WINDOWS XP 32BIT)
MD5: 6f202dce92c77aba3d706f1c1cbae7a6
최초수신: 2009.07.01 07:47:10 UTC
날짜: 2010.01.30 09:52:05 UTC [>3D]
결과: 0/39
고유주소: analisis/e5a4b712af287e6934f602594aa8c4e9febf810d19b66a6d796cc3e504fbde78-1264845125
LPK.DLL (WINDOWS XP 32BIT)
MD5: 82c9b747252b12d1d2ef606c53a94fb2
최초수신: 2009.05.23 11:01:07 UTC
날짜: 2009.12.23 14:45:55 UTC [>41D]
결과: 0/41
고유주소: analisis/69d9184a2437455824909a314d7fdbe906022b8afce8c237acfc5c4f4da337ee-1261579555
VISTA와 7은 미확인
64비트 OS 정상 CRC
http://lameproof.com/zboard/zboard.php?id=group&page=1&sn1=&divpage=7&sn=off&ss=on&sc=on&sm=off&select_arrange=headnum&desc=asc&no=35138
자근이님(WINDOWS7 AMD64) USP10.DLL CRC정보
정상 CRC체크는 http://www.virustotal.com/ko/
여기 참고하세요
혹시나 system32 폴더이외 다른폴더에서 발견했다면
c:\del usp10.dll lpk.dll /a /s 명령어로 올킬 합니다 (system32폴더 이외 소각)
감염증상 3번일 경우 rar.exe만 삭제해주시면 됩니다
-주의밎 조언-
꼬마네꼬 (2010-02-03 00:34:53) 님 의견 인용
프로그램이 DLL을 사용시 같은 폴더 내에 DLL이 있다면 시스템 폴더 대신 해당 DLL을 로드하는 것을 이용한 편법입니다.
요샌 USP10.dll으로 유행하나 보네요...
만약 USP10.dll이 특히 인터넷 익스플로러 폴더 등에 실행 파일과 같이 있다면 100%라고 생각하시면 될 것 같습니다.
오피스류는 같이 있을 수 있습니다... 다만 오피스2007 기준으로, 실행 파일과 함께 있지는 않습니다.
USP같은 경우 유니코드를 처리하는 녀석으로, 시스템 폴더 내에 있는 것만 써도 별 문제는 없을 거라고 생각합니다.
불안하시면 파일명 바꿔서 한 군데 몰아두세요.
(다만 기본적으로 USP10.dll이 같이 설치 되는 오피스류는 어떨지 모르겠네요.)
버전은 계속 1인 주제에 빌드는 막 올라가는 녀석이라 윈도나 오피스 버전마다 차이도 많을 겁니다....
http://mylabs.tistory.com/23
변종 USP10.DLL에 대한 정보
2010.02.02 23:51:59 (*.138.56.132)
![[레벨:7]](http://old.lameproof.com/modules/point/icons/default/7.gif "포인트:5377point (71%), 레벨:7/30"){kind=icon}
게임초보 system32 와 ServicePackFile/i386에 있네요. 크기는 397KB로 나오고 수정한 날짜는 2008년 04월 14일임.
2010.02.02 23:53:16 (*.217.123.19)
![[레벨:1]](http://old.lameproof.com/modules/point/icons/default/1.gif "포인트:196point (39%), 레벨:1/30"){kind=icon}
나잇 아웃룩에도 있군요. 단순히 파일이 존재하는것 만으론 안전한지 아닌지 알 수 없는 듯 합니다. 정상인 파일도 지울 가능성이 있어 보이는데 함부로 지우진 않으시는게 낫지 않을까요.
2010.02.02 23:53:53 (*.187.127.58)
![[레벨:3]](http://old.lameproof.com/modules/point/icons/default/3.gif "포인트:952point (22%), 레벨:3/30"){kind=icon}
자근이 CRC 3887c4c8 // MD5 0ba19f3198c40ac4e8cc66ee02eda6c6 // SHA1 63179edf1a4e51e841480a94f7e5fe9553254834
비교좀.. 윈7 64비트임
비교좀.. 윈7 64비트임
2010.02.02 23:55:14 (*.28.102.165)
리버스엔지니어링 LPK.DLL 용량은 24.0KB (24,576 바이트) 디스크 할당크기 기준
USP10.DLL 400KB (409,600 바이트)
USP10.DLL 400KB (409,600 바이트)
2010.02.02 23:56:50 (*.28.102.165)
리버스엔지니어링 본문에 말했듯이 SYSTEM32 폴더를 제외하고 존재하는 파일은 위장한 악성바이러스이니 삭제를 권장합니다
2010.02.02 23:58:43 (*.187.127.58)
자근이 무작정 삭제 하라고 하지 마시고.. 32비트 사용하시는듯 한데..
사용하는 운영체제에서의 usp10.dll 의 crc 값이라도 좀 적어보세요.
사용하는 운영체제에서의 usp10.dll 의 crc 값이라도 좀 적어보세요.
![[레벨:4]](http://old.lameproof.com/modules/point/icons/default/4.gif "포인트:1783point (42%), 레벨:4/30"){kind=icon}
Rude
2010.02.03 00:05:48 (*.217.123.19)
나잇 AVG 사용합니다. 위에도 언급했다시피 Outlook 폴더에 있고, 스캔 결과 정상인 것으로 봐서 System32 이외의 폴더에서도 발견되고 있는것으로 보이는데, 앞서 말했듯이 무작정 지우라고 하시는건 조금 위험하지 않나 싶습니다.
![[레벨:5]](http://old.lameproof.com/modules/point/icons/default/5.gif "포인트:2497point (24%), 레벨:5/30"){kind=icon}
하늘속으로
2010.02.03 00:21:09 (*.28.102.165)
리버스엔지니어링 그리고 윈도우즈 7,VISTA 쓰는분들 정확한 답변드리기 어려워서 ㅈㅅ합니다. XP쓰는 사람 기준으로 응급조치한거라
제가 쓴 방법이 신뢰안가면 네이버백신으로 임시 치료하세요 그게 제일 안전합니다.
제가 쓴 방법이 신뢰안가면 네이버백신으로 임시 치료하세요 그게 제일 안전합니다.
2010.02.03 00:24:54 (*.187.127.58)
자근이 리버스엔지니어링님 http://www.virustotal.com/ko/
이사이트에 가서..
자신의 usp10.dll 과 lpk.dll 를 올리고 직접 검사 한후에 해당 로그 부탁해요.
이사이트에 가서..
자신의 usp10.dll 과 lpk.dll 를 올리고 직접 검사 한후에 해당 로그 부탁해요.
2010.02.03 00:28:48 (*.28.102.165)
리버스엔지니어링 USP10.DLL (WINDOWS XP 32BIT)
MD5: 6f202dce92c77aba3d706f1c1cbae7a6
최초수신: 2009.07.01 07:47:10 UTC
날짜: 2010.01.30 09:52:05 UTC [>3D]
결과: 0/39
고유주소: analisis/e5a4b712af287e6934f602594aa8c4e9febf810d19b66a6d796cc3e504fbde78-1264845125
LPK.DLL (WINDOWS XP 32BIT)
MD5: 82c9b747252b12d1d2ef606c53a94fb2
최초수신: 2009.05.23 11:01:07 UTC
날짜: 2009.12.23 14:45:55 UTC [>41D]
결과: 0/41
고유주소: analisis/69d9184a2437455824909a314d7fdbe906022b8afce8c237acfc5c4f4da337ee-1261579555
MD5: 6f202dce92c77aba3d706f1c1cbae7a6
최초수신: 2009.07.01 07:47:10 UTC
날짜: 2010.01.30 09:52:05 UTC [>3D]
결과: 0/39
고유주소: analisis/e5a4b712af287e6934f602594aa8c4e9febf810d19b66a6d796cc3e504fbde78-1264845125
LPK.DLL (WINDOWS XP 32BIT)
MD5: 82c9b747252b12d1d2ef606c53a94fb2
최초수신: 2009.05.23 11:01:07 UTC
날짜: 2009.12.23 14:45:55 UTC [>41D]
결과: 0/41
고유주소: analisis/69d9184a2437455824909a314d7fdbe906022b8afce8c237acfc5c4f4da337ee-1261579555
2010.02.03 00:34:53 (*.34.176.51)
![[레벨:9]](http://old.lameproof.com/modules/point/icons/default/9.gif "포인트:7372point (4%), 레벨:9/30"){kind=icon}
꼬마네꼬 프로그램이 DLL을 사용시 같은 폴더 내에 DLL이 있다면 시스템 폴더 대신 해당 DLL을 로드하는 것을 이용한 편법입니다.
요샌 USP10.dll으로 유행하나 보네요...
만약 USP10.dll이 특히 인터넷 익스플로러 폴더 등에 실행 파일과 같이 있다면 100%라고 생각하시면 될 것 같습니다.
오피스류는 같이 있을 수 있습니다... 다만 오피스2007 기준으로, 실행 파일과 함께 있지는 않습니다.
USP같은 경우 유니코드를 처리하는 녀석으로, 시스템 폴더 내에 있는 것만 써도 별 문제는 없을 거라고 생각합니다.
불안하시면 파일명 바꿔서 한 군데 몰아두세요.
(다만 기본적으로 USP10.dll이 같이 설치 되는 오피스류는 어떨지 모르겠네요.)
버전은 계속 1인 주제에 빌드는 막 올라가는 녀석이라 윈도나 오피스 버전마다 차이도 많을 겁니다....
요샌 USP10.dll으로 유행하나 보네요...
만약 USP10.dll이 특히 인터넷 익스플로러 폴더 등에 실행 파일과 같이 있다면 100%라고 생각하시면 될 것 같습니다.
오피스류는 같이 있을 수 있습니다... 다만 오피스2007 기준으로, 실행 파일과 함께 있지는 않습니다.
USP같은 경우 유니코드를 처리하는 녀석으로, 시스템 폴더 내에 있는 것만 써도 별 문제는 없을 거라고 생각합니다.
불안하시면 파일명 바꿔서 한 군데 몰아두세요.
(다만 기본적으로 USP10.dll이 같이 설치 되는 오피스류는 어떨지 모르겠네요.)
버전은 계속 1인 주제에 빌드는 막 올라가는 녀석이라 윈도나 오피스 버전마다 차이도 많을 겁니다....
2010.02.03 00:37:29 (*.187.127.58)
자근이 리버스엔지니어링님
그럼 본문에 XP 32비트(서비스팩도) 유저분들을 위한 .. 검사 사이트 링크와..
해당 파일이 있는 위치.. 그리고 님이 검사한 정보를 정리 부탁하며..
다른분이 올린 리플을 취합해서
본문 업데이트 부탁해요.
그럼 본문에 XP 32비트(서비스팩도) 유저분들을 위한 .. 검사 사이트 링크와..
해당 파일이 있는 위치.. 그리고 님이 검사한 정보를 정리 부탁하며..
다른분이 올린 리플을 취합해서
본문 업데이트 부탁해요.
2010.02.03 00:55:08 (*.187.127.58)
자근이 제가 올린 아래 파일정보는 usp10.dll 파일 정보입니다 둘다..
각각 다른 2개의 usp10.dll 입니다.
lpk.dll 는 .. usp10이 별문제가 없어서 추가 검사를 안했습니다.
각각 다른 2개의 usp10.dll 입니다.
lpk.dll 는 .. usp10이 별문제가 없어서 추가 검사를 안했습니다.
이곳에도 있는데 .. 여긴 상관없는건가염?