oksound dll 에 바이러스 감염

*엠파스에서 이사함

   oksound dll 에 바이러스 감염 조회(1038)컴퓨터 | 2007/05/04 (금) 21:18  추천하기(0) 스크랩하기(1)

 

f-prot 의 실시간 감시기능으로 바이러스를 진단하여 접근을 차단하는 그림.

 

c-->windows-->system32 폴더 안의 바이러스 감염 위치.< 컴에 xp설치됨>.

 

바이러스에 감염되었다.
118. avast백신은  이 바이러스를  infostealer.maplosty 라고 부른다.
 
이 바이러스의 목적이 패스워드훔치기인 듯 하다.
아무래도 컴이 느려져 이상한 생각이 들어 f-prot 라는 백신을 설치하여 검사하니 나온다.
pwstealth라는 이름으로 진단을 한다.
이 바이러스의 목적이 메이플스토리 아이디와 패스워드훔치기라고 안철수연구소는 밝히고 있다.
위치는 c -->window-->system32 폴더 안의 oksound dll 에 감염되어있다.
 
유니큐어백신은 진단을 하지 못한다.
따라서 유니큐어 백신하나만 설치한 내 컴은 이 바이러스가 실행중임에도 인터넷이 정상적으로 된다.
그런데 이 오케이사운드 디엘엘을 웜이나 다른 바이러스처럼 삭제하기 위하여
다른 폴더로 오케이사운드디엘엘을 잘라내기 하여 옮기니까 인터넷이 되지 않는다.
이를 치료하는 백신이  118. avast 홈 에디션(무료)라는데
이 백신을 설치하면 컴퓨터가 완전히 저속으로 바뀌며 인터넷이 되지 않는다.
 
또한 v3 시험판으로  진단치료가 된다는데 v3를 설치하지 않고 있다.
 
f-prot 로는 진단을 하지만 치료까지  가능한가 의문이다.
f -prot의 실시간 감시기능이 작동하면서 컴이 완전히 느려져서 아무것도 못한다.
오직 할 수 있는 것은 작업관리자에 들어가 f-prot의 프로세스를 중지시켜야만
컴으로 인터넷이든 아니면 다른 작업을 할 수 있다.
 
 f-prot 가 실행되지 않도록 하기 위하여 f-prot를 설치되기 전의 상태로 되돌리는 복원을 하였다.
복원을 2주전으로 하니 속도는 다시 빨라졌다.
 그러나 바이러스가 삭제되지는 않았다.
다시 f-prot를 설치하여 진단하니 이 바이러스가 또 나타난다. 
그런데 복원을 하고 보니 이 바이러스가 자기 스스로 복제를 하는 것 같다.
복원후에 보니 제2의 oksound dll(2) 이 설치되어 있다.
제2의의 오케이사운드 디엘엘을 삭제하니 제5의 오케이사운드까지 설치되어 있는 것을 보았다. 

 
** 이 바이러스에 관하여 참고할 만한 사이트
http://blog.dreamwiz.com/whj1226/5870775 
http://kin.naver.com/db/detail.php?d1id=1&dir_id=106&eid=OLSN+vYMWWZlz7smTz7M38ADA6nceuZT&qb=udnAzLevvbo= 
http://auction.ahnlab.com/badcode_info_view.asp?list=/badcode_info_list.asp&seq=7544
 
**본문 글 수정함.
수정하는 동안 아직 치료하지 못함.
그러나 바이러스 감염됐어도 유니큐어 백신 하나만 설치한 컴으로 인터넷 정상적으로 됨.
혹시 아이디와 패스워드 훔치는가 기분이 좀 이상함.  
 
**안철수 연구소의 정보를 바탕으로 이 바이러스가 설치한 아래 그림의  레지스트리 키값을 삭제함 . 
HKEY_LOCAL_MACHINE
      SYSTEM
         ControlSet001
            Services
               PCIDown
ImagePath = 윈도우 폴더alg.exe 

 

 

 
 HKEY_LOCAL_MACHINE
      SYSTEM
         ControlSet001
            Services
               WS2IFSL
ImagePath = 윈도우 시스템 폴더ws2ifsl.sys
**아래 그림에서  ImagePath = 윈도우 시스템 폴더ws2ifsl.sys 키를 삭제하기 전에 캡쳐를 하지 않아 키  삭제 후의 그림만 올림

 

 

위 그림처럼 두개의 키를 삭제하고도 인터넷은 이상이 없음 .
그래서 프로세스를 보니 alg.exe 프로세스가 컴퓨터를 켜면 자동적으로 실행됨.
 이 프로세스를 중지시키고 인터넷을 하여도 인터넷은 이상이 없음.
 
아래의 사이트의 안내에 따르면 alg .exe 프로세스는
인터넷연결과  인터넷 연결 방화벽에 핵심적인 프로세스로서
적절한 작업을 위하여 필수적인 어플리케이션으로서 중지시키지 말 것을 권고함.
 
그런데 이 프로세스를 중지시켜도 아무 이상이 없음.
다만 alg 파일을 찾아서 다른 폴더로 이동하면 인터넷이 안됨.
oksound .dll 파일은 그대로 있음.
바이러스가 이제는 활동을 못하는지 알 수가 없네.....

**아래 사이트의 alg.exe 프로세스 설명
http://www.liutilities.com/products/wintaskspro/processlibrary/alg/
 
alg.exe - alg - Process Information
Process File: alg.exe or alg
Process Name: Application Layer Gateway Service
Description:
alg.exe is a process belonging to Microsoft Windows Operating System. It is a core process for Microsoft Windows Internet Connection sharing and Internet connection firewall. This program is important for the stable and secure running of your computer and should not be terminated.
Recommendation for alg.exe:
alg.exe should not be disabled, required for essential applications to work properly.
 
  http://blog.empas.com/honestyun/19855783

 

--------------------------------

* 추가한 부분

이 현상 때문에 결국 윈도를 다시 설치하고 현재는 알약과 존알람 방화벽을 사용합니다.

서비스팩3으로 업데이트를 하여 이제는 바이러스 등이 더 이상 감염이 되지 않습니다.

가장 중요한 공은 역시 서비스팩과 존알람 때문으로 봅니다.

바이러스에 감염이 되지 않은지 몆달째입니다.

자주 바이러스가 감염이 된다면 서비스팩과 존알람사용을 권해 드립니다.