컴퓨터를 새로 장만하고 윈도우를 다시 설치 했다.
utp cable을 빼놓고 설치한다는 걸 깜박하고 설치 도중에 뒤늦게 빼버렸지만 역시 바이러스가 몇개 걸려 버렸다.
우선 백신을 설치하고 service pack를 설치 후 각종 보안 패치를 했다.
이제 어느 정도 바이러스에 대한 대비는 되었겠지라고 안심하고 컴퓨터를 켜 놓고 잠을 잤는데 일어나 보니 컴퓨터는 다운 되어 있었다.
바이러스라고 의심을 하진 않았다.
하지만 조금전 컴퓨터를 보니 task manager의 cpu 사용율이 100%인 것이다.
프로세스를 보니 defragfat32.exe라는 놈이 다 차지하고 있었다.
처음 보는 실행 파일.
검색해보니

http://securityresponse.symantec.com/avcenter/venc/data/w32.linkbot.a.html 이런 놈이었다.

system32 밑에 defragfat32.exe라는 놈이 존재 하고 있었고
registry에도 추가 되어 있었다.
설치되어 있는 v3Pro 2002 Deluxe로도 잡히지 않는다.
추가로 EviL.exe라는 파일명의 바이러스가 v3로 발견 되었지만 말이다.
아마도 보안패치 하기 전에 설치 된 놈이라고 추정 된다.

조치 한 사항은

1. 프로세스를 끝내버리고
2. 파일을 삭제 하고
3. registry 에서 해당 항목을 삭제 했다.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

"Windows DLL Loader" = "%System%defragfat32(z).exe"

귀찮아서 해당하는 문서는 제대로 읽어 보지 않았다.

아 크리스마스를 하루종일 집에서 보내는 구나 orz...
  1. Favicon of http://www.bluecol.com BlogIcon BlueCol 2004.12.26 01:09 신고

    ㅎㅎㅎ. 너의 불행은 나의 행복이야. 행복의 목소리가들려.`~~~~~

  2. Favicon of http://cyworld.com/jeichee BlogIcon J.HEe 2004.12.26 23:18 신고

    쯧쯧 컴터를 새로 장만해도 문제로구나.....바이러스에 걸려도 저리 멋진것만 걸리냐..ㅎㅎㅎㅎ

  3. Favicon of http://www.banggae.com/tt BlogIcon Bang 2004.12.27 09:56 신고

    지금은 정상적으로 작동 중이야.

코드레드 바이러스 정보
http://info.ahnlab.com/smart2u/virus_detail_848.html

웹서버 로그가 많이 쌓여 있어 정리좀 하다 보니
다음과 같은 정보를 알게 되었다.

203.237.214.39 - - [11/Jul/2004:20:52:18 +0900] "GET /default.ida?XXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XX%u9090%u6858%ucbd3%u7801%u9090%u6858%
ucbd3%u7801%u9090%u6858%ucbd3%u7801%u909
0%u9090%u8190%u00c3%u0003%u8b00%u53
1b%u53ff%u0078%u0000%u00=a HTTP/1.0" 404 275


이런 로그 파일이 아파치 로그에 계속 쌓이고 있었는데
코드레드 바이러스가 IIS에만 피해를 주는게 아니라
아파치의 로그에도 영향을 주고 있었던 것이다.

실제로 로그를 확인해 본 결과 위와 같은 로그가 그리 많진 않았지만
한번 걸러 주기로 했다.

코드레드 로그만 CodeRed_log 파일에 저장한다.
#cat access_log |grep ida? > CodeRed_log

로그파일에서 코드레드 로그만 삭제하고 access_log_new 파일에 저장한다.
#sed '/ida?/d' access_log > access_log_new

원본 파일을 코드레드 로그가 삭제된 파일로 대체한다.
#rm -f access_log
#mv access_log_new access_log

임시 방편으로 위와 같은 방법을 사용 했다.
아파치 conf 파일에서 필터링 할 수 있는 방법을 찾아 봐야 겠다.

몇년이나 된 바이러스가 아직도 돌아 다니다니..

+ Recent posts