MSN으로 전파되는 "photo album2007.pif" 바이러스
컴퓨터 2007. 4. 5. 16:18그런데 이게 바이러스인지 뭔지 모르겠다.
어떤 증상이 나타나는지 현재로선 잘 모르겠으니...
일단 zip을 받아 풀어 "photo album2007.pif"파일을 실행하면 바로 감염이 되어
실행되고 있는 대부분의 프로세스에 사용 모듈로 착 달라붙는다.
아무 반응이 없어 여러 번 실행한 사람은 레지스트리가 계속 추가된다.
다음과 같이 삭제한다.
1. 가장 먼저 MSN 으로 받은 ZIP 파일과 압축을 해제한 해당 PIF 파일부터 삭제한다.
2. 시작 > 실행 > regedit 실행
3. "HKEY_LOCAL_MACHINE"을 클릭하고 "Ctrl + F"를 눌러 "rdihost" 라고 치고 엔터
4. 창의 오른쪽에 "rdihost.dll" 이 표시되면 왼쪽 창에서 해당 상위 키값을 마우스 오른쪽으로 눌러 삭제
5. 다시 "F3"을 눌러 계속 찾는다. 만일 해당 바이러스 파일을 두번 이상 실행했다면 동등한 경로에 또다른 키가 찾아진다.
위의 동등한 경로란 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\] 하위 경로를 말한다.
그러므로 위 경로 밑에 영문 숫자가 혼합된 키값으로 "rdihost.dll"을 포함하고 있는 게 있다면
위와 같이 키값을 지운다.
6. "F3"을 눌렀을 때 다음 경로가 찾아지면 해당 "rdihost" 문자열 값(REG_SZ)를 지운다.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
밑의 "rdihost 문자열값"
7. 이제 로그 오프 > 로그온 한다.
8. 다음 경로의 파일을 지운다.
c:\windows\photo album.zip
c:\windows\system32\rdihost.dll
9. 이제 사용한다.
※ 2번 단계에서 그냥 내컴퓨터에 놓고 찾아도 되지만 그럴 경우 HKEY_CLASSES_ROOT 값도 검색이 되어 더 여러번 작업하게 된다. HKEY_LOCAL_MACHINE 의 해당 키값을 지우면 위 경로 밑의 해당 값은 같이 삭제된다.
추가
사실 위 작업을 스크립트로 만들고자 했으나 파일 실행시마다 새로운 키값으로 레지스트리 값이 등록되므로 그 변수를 받아들이는 작업은 거의 프로그래밍 수준이 아닌가 싶다. 나로서는 실력 부족.
전용 백신이 금세 나오리라 기대한다.
어떤 증상이 나타나는지 현재로선 잘 모르겠으니...
일단 zip을 받아 풀어 "photo album2007.pif"파일을 실행하면 바로 감염이 되어
실행되고 있는 대부분의 프로세스에 사용 모듈로 착 달라붙는다.
아무 반응이 없어 여러 번 실행한 사람은 레지스트리가 계속 추가된다.
다음과 같이 삭제한다.
1. 가장 먼저 MSN 으로 받은 ZIP 파일과 압축을 해제한 해당 PIF 파일부터 삭제한다.
2. 시작 > 실행 > regedit 실행
3. "HKEY_LOCAL_MACHINE"을 클릭하고 "Ctrl + F"를 눌러 "rdihost" 라고 치고 엔터
4. 창의 오른쪽에 "rdihost.dll" 이 표시되면 왼쪽 창에서 해당 상위 키값을 마우스 오른쪽으로 눌러 삭제
5. 다시 "F3"을 눌러 계속 찾는다. 만일 해당 바이러스 파일을 두번 이상 실행했다면 동등한 경로에 또다른 키가 찾아진다.
위의 동등한 경로란 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\] 하위 경로를 말한다.
그러므로 위 경로 밑에 영문 숫자가 혼합된 키값으로 "rdihost.dll"을 포함하고 있는 게 있다면
위와 같이 키값을 지운다.
6. "F3"을 눌렀을 때 다음 경로가 찾아지면 해당 "rdihost" 문자열 값(REG_SZ)를 지운다.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
밑의 "rdihost 문자열값"
7. 이제 로그 오프 > 로그온 한다.
8. 다음 경로의 파일을 지운다.
c:\windows\photo album.zip
c:\windows\system32\rdihost.dll
9. 이제 사용한다.
※ 2번 단계에서 그냥 내컴퓨터에 놓고 찾아도 되지만 그럴 경우 HKEY_CLASSES_ROOT 값도 검색이 되어 더 여러번 작업하게 된다. HKEY_LOCAL_MACHINE 의 해당 키값을 지우면 위 경로 밑의 해당 값은 같이 삭제된다.
추가
사실 위 작업을 스크립트로 만들고자 했으나 파일 실행시마다 새로운 키값으로 레지스트리 값이 등록되므로 그 변수를 받아들이는 작업은 거의 프로그래밍 수준이 아닌가 싶다. 나로서는 실력 부족.
전용 백신이 금세 나오리라 기대한다.