꿈을꾸는 파랑새

반응형
일부 글에는 비 전문가의 글이므로 오류가 있을 수도 있습니다. 오늘 갑자기 Hijack This를 돌리던 중 갑자기 카스퍼스키에서 돼지 멱따는 소리가 들리기 시작을 했습니다. 내용은 즉 트로이 목마에 감염되었다는 것이었습니다. 순간 놀랬습니다 하드를 포맷한 지 이틀도 안 되었고 개인적으로 샌드박스ie가 아니면 웹을 여행 안 다니는데. 갑자기 바이러스라니. 한 생각이 들었습니다. 그래서 나름대로 수사상태로 도입해서 수사했습니다. 일단, 아는 지식을 동원하기 시작했습니다. 먼저 바이러스 토탈 를 사용하기로 했습니다. 일단은 먼저 바이러스 검출된 장소입니다.보시면 wmiprvse.exe 파일이 감지되고 있습니다.
이것을 단서로 시작했습니다. 먼저 바이러스 토탈 결과입니다. 만약을 위해 MD5 값도 공개해 두었습니다.
보면 혼자 감지하고 있었습니다. 그래서 또 다른 방법을 사용해 보기로 했습니다. 저번에 소개한 사이트입니다.

즉 위치상으로는 원도우의 정상적인 파일인 것을 볼 수가 있었습니다.

만약을 위해 일단 다른 보안 업체에도 신고 와 카스퍼스키 한국지사 쪽으로 신고한 상태입니다.
추가 내용:새벽 03:42분 카스퍼스키 본사로 부터 답장을 받았습니다.결과는 아래와 같은 메일을 받을 수가 있었습니다.즉 오진이라고 하네요.


반응형

이 글을 공유합시다

facebook twitter googleplus kakaostory naver

본문과 관련 있는 내용으로 댓글을 남겨주시면 감사하겠습니다.

비밀글모드

  1. Favicon of http://arrestlove.tistory.com BlogIcon 물여우 2009.04.20 10:57

    수고하셨습니다. 윈도 파일 오진이라니 사안이 큰 경우였는데 사카이님 덕분에 금방 해결되었나 봅니다.

    • Favicon of http://wezard4u.tistory.com BlogIcon Sakai 2009.04.20 16:26

      네~금방 해결되어서 다행이었습니다. 솔직히 정말 당황스럽더군요.

  2. Favicon of http://blue2310.tistory.com BlogIcon 드자이너김군 2009.04.20 12:23

    이야 대단해요~ 전 이런거 생각도 못한답니다.ㅋ

    • Favicon of http://wezard4u.tistory.com BlogIcon Sakai 2009.04.20 16:28

      감사합니다.저도 예전에 그런적이 있어서 배우다 보니 미약하지만 이정도로는 할수가 있어진 것 같습니다.

  3. Favicon of http://hummingbird.tistory.com BlogIcon 벌새 2009.04.20 15:30

    F-Secure에서 해당 오진에 대한 내용을 밝혔더군요.

    해당 파일은 올해 초에 윈도우 업데이트에 의해 수정(업데이트)된 파일이라고 합니다.

    그런데 마이크로소프트사에 의해 해당 파일이 sign이 되지 않은 상태라고 합니다. 하지만 사인이 안되었다고 감염된 파일은 아니고, 깨끗하므로 오진이라고 합니다.

    • Favicon of http://wezard4u.tistory.com BlogIcon Sakai 2009.04.20 16:29

      네~벌새님이 말씀하신것처럼 확인 해 보았습니다.그래도 빨리 해결이 되어서 다행이라고 생각을합니다.그리고 감사합니다.:)

  4. Favicon of http://vart1.tistory.com BlogIcon 백마탄 초인 2009.04.21 01:10

    카스퍼스키가 초창기에는 익스플로러도 바이러스로 오진해서 초비상사태가 난적이 한번 있었죠,,,

    아직은 지구상에 100% 완벽한 백신은 없지요!
    앞으로도 없겠지만,,,하하

    아무튼, 큰일 하셨군요!
    카스퍼스키에서 포상 안 할랑가용,,,^ ^

    • Favicon of http://wezard4u.tistory.com BlogIcon Sakai 2009.04.21 12:40

      아마 100%완벽하면 신이아니고서야 불가능하다고 생각이듭니다.좋은 하루보내세요^^