어제 연구실 컴퓨터가 이상해서 여기저기 알아봐서 처치했는데,

집에 와서 보니, 집 컴퓨터도 감염되어 있네요.

굉장히 확산이 빠른 종류의 것이라고 생각됩니다.

다른 분들도 비슷한 증상이 보이시면, 아래 방법으로 고쳐보세요.



1. 이름

PWS.Lineage


2. 기능

리니지 게임 프로그램의 ID 와 비번을 빼내서
어딘가로 보낸다고 하는군요


3.  감염경로

어떤 웹사이트를 접속하는 것만으로도 감염이 됩니다.
지금 보기로는 이런 식의 웹사이트들이 많은 것 같습니다.


4. 증상

- '시작' 을 눌러도 그림자만 뜨고, 메뉴가 보이지 않습니다.
- 오피스 프로그램(파워포인트, 엑셀, 워드.. ) 에서 메뉴를 클릭해도 그림자만 뜹니다.
- 컴퓨터가 느려집니다.



5. 확인방법

- C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp 위치에 ino1.dll 등이 있습니다.
- 얘네들이 regsvr 등으로 등록됩니다.
- 지워도 다시 생기도록 하는 상호 감시하는 녀석으로서, C:\program files\config\svhost32.exe 있습니다.


6. 지우는 방법

- 위에 적어놓은 경로로 찾아가서, inox.dll 류의 파일들을 모두 삭제하고,
삭제하지 못하는 파일은 '이름바꾸기'를 해서 'abcd.efg' 처럼 딴 이름으로 바꿉니다.
- svhost32.exe 에 대해서도 마찬가지로 이름을 바꿉니다.
- 시작->실행->regedit  를 실행시키고,  HKEY_LOCAL_MACHINE/software/microsoft/
windows/currentversion/run 에서  winabc 라는 녀석과 svhost32.exe 녀석을 삭제합니다.    그리고 재부팅..



7. 예방법

- 딱히 없는 것 같습니다. 악성 코드 방지하는 각종 프로그램들은 솔직히 믿지 못하겠고, V3 같은 프로그램에 의지하는 수밖에 없는데... 패치가 나오기 전까지는 일단, 웹페이지 접속을 자제하는게 좋을 듯 합니다.