kxvo 혹은 kavo 바이러스 치료
컴퓨터 2008. 2. 28. 22:22kxvo(kavo) 웜 바이러스 감염 후 증상
1. 내 컴퓨터의 로컬 드라이브를 더블 클릭하면 새창으로 내용이 뜨거나(같은 창에서 뜨도록 설정했음에도) 연결 프로그램을 묻는 창이 뜬다.
2. 폴더 옵션에서 숨김파일 보기를 선택해도 숨김파일이 보이지 않는다.
3. 시스템이 상당히 느리거나 간혹 멈춘다.
4. 인터넷창(Internet Explorer)을 실행하면 창이 떴다가 바로 종료된다.
2. 폴더 옵션에서 숨김파일 보기를 선택해도 숨김파일이 보이지 않는다.
3. 시스템이 상당히 느리거나 간혹 멈춘다.
4. 인터넷창(Internet Explorer)을 실행하면 창이 떴다가 바로 종료된다.
주로 USB 메모리 등의 이동식 저장장치의 Autorun.inf 파일에 의해 자동실행되면서 전파된다.
이 웜 때문에 지난 2주 내내 전화가 빗발쳤다.
회사에서 사용하는 맥머시기는 fool0.dll 파일 치료 메세지만 계속 내보내는 통에 더 번거롭기만 하다.
일일이 파일 속성 변경 후 지우기가 귀찮아 AutoIt 으로 스크립트를 만들었다.
invalid-file현재 이 파일로 일단 해당 파일들 지우고
웹상에 돌아다니는 kavo_killer 라는 파일로 2차 실행한 후
V3Neo로 점검해 보는데 아직까지는 그런대로 잘 먹힌다.
다운로드 받아 실행하는 게 싫다면 여기를 눌러 바이러스 체이서 온라인 검색/치료 사이트에서 치료해도 된다.
워낙 변종 파일명이 많아, 보이는 족족 스크립트에 추가해줘야 해서 역시 허접한 스크립트다.
위 증상 중 4번의 경우는 이 바이러스로 인한건지 확실치 않다.
그런 증상을 보이는 컴퓨터에서는 이 파일로 지우고 난 후에도 시스템이 원활하지 않다.
kavo 관련 검색 도중 알게된 것인데
신뢰가 가길래 붙여놨다.
치료가 불가한 free 버전이므로 검색만 해보고 감염 결과가 나오면 파일을 수동 삭제해야 한다.
스크립트로 삭제되는 파일과 레지스트리 목록은 밑의 원본 스크립트 파일(.au3)을 메모장으로 열어보면 알 수 있다.
invalid-file삭제 레지스트리 중 "{CE7C..."가 포함되는 키는 밑의 참조 페이지 중 한 곳의 내용을 보고 넣은건데 아무래도
PC 마다 유동적인 것 같다.
AutoIt 스크립트 작성은 usboffice 커뮤니티의 Zasfe님의 도움을 받았다.
참조글
http://www.nprotect.com/service/kepad/virus_view.html?mode=&no=799
http://bumis.cafe24.com/tt/NaturalLaw/entry/nndelectcom-과-codelectcom-그리고-dxvoexe
http://v.chol.com/info_virus_view.asp?list=/virus_info_list.asp&seq=12868
http://blog.naver.com/nologout/47615320
http://kr.ahnlab.com/info/smart2u/virus_detail_12288.html
http://www.prevx.com/filenames/X289967154020299796-X1/KXVO.EXE.html
http://www.prevx.com/filenames/80865900421147235-X1/FOOL0.DLL.html
http://doubleso.egloos.com/1348931
http://blog.naver.com/lunarhorizon?Redirect=Log&logNo=100047080704
http://ssaybch.egloos.com/1186999
http://blog.naver.com/amitasia/120046490514
http://blog.naver.com/pointman79/140045649453