특정웹사이트에서 배포되는 첨부파일을 실행하는 경우 생성되는 스파이웨어이다.
활동에 대해서는 아직 확인된것이 없지만 특정아이피(180.xxx.xxx.xxx)로 계속 패킷을 전송하는것을 목격했다. 하나로 ISP.
이 아이피는 배포자의 웹사이트 아이피와 동일하다.
시작프로그램에 등록된 레지스트리값.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
MSMSGS - C:\WINDOWS\system_beb.exe
system_beb 또는 msmsgs라는 이름으로 등록되어 있으며, 메신저와 관련된 프로그램으로 착각하기 쉽다.
등록되는 레지스트리값이 랜덤으로 등록되는것으로 보인다. 최초 등록된 레지스트리값은 msmsgs였으나, 재설치하니 다시 레지스트리값이 변경되었다.
추가적으로 생성되는 파일들이다. svchost.exe 와 dllhost.exe 는 시스템 프로세스이나 디렉토리가 다르므로 주의하기 바란다.
C:\WINDOWS\system_000.exe
C:\WINDOWS\system_beb.exe
C:\WINDOWS\000ctfmon\dllhost.exe
C:\WINDOWS\000ctfmon\svchost.exe
위 두파일은 작업관리자에 상주하며, 서로의 프로세스를 모니터하므로 종료를 할 수 없다.
processexplorer이라는 프로그램을 사용하여 프로세스를 동시에 kill을 해야 종료할 수 있다.
작업관리자에서 위 2개의 프로세스를 종료, 파일삭제, 관련 시작프로그램 및 레지스트리를 모두 삭제한다.
관련글 보기
2010/06/08 - [바이러스] - WinLNM, ylt, tkun2.dll 스파이웨어 한번에 삭제하기
2010/06/07 - [시스템관리] - 인터넷 검색도우미 PremiereInfo, 프리미어 툴바 삭제하기
2010/06/06 - [시스템관리] - 인터넷 쇼핑도우미 wbsvc.dll, wbsvcBHO Class 삭제하기
2010/06/06 - [윈도우즈/컴퓨터] - 인터넷 검색도우미 최근검색, RSearch.dll, RecentSearch 삭제하기
2010/06/04 - [윈도우즈/컴퓨터] - 인터넷 검색도우미 WinSmartTop 스마트탑 삭제하기
2010/06/01 - [바이러스] - 인터넷 검색도우미 AceBrow, ibrows, ShopGateAuction 한번에 삭제하기
2010/05/30 - [시스템관리] - 인터넷 검색도우미 인홀드바 Inholdbar 제거하기
