kvosoft.exe 스파이웨어 치료하기
원글은 윈도를 사용하던 시기의 오래된 글입니다.
인용한 링크가 잘려있고 내용이 지금과 다를 수 있습니다.
수정하려니 내용이 너무 많아 수정도 어렵습니다.
다만 방화벽이 저절로 해제되는 현상은 존알람을 사용하면 그랬죠.
대신 존알람 자체가 독립한 방화벽 프로그램이라 윈도 자체의 방화벽이 해제되어도 문제가 없습니다.
지금은 데스크탑을 리눅스만 사용하다 보니
아래의 윈도에서 포트스캔 화면같은 것을 보충해 올려 드릴 수 없네요.
오늘 2011.5.2일 아침.
==================
kvosoft.exe 스파이웨어 치료하기
혹시 아직도 이 바이러스의 초기버전이나 변종에 감염되는지 궁금하네요.조회수가 높아서 다시 올립니다.
이전에 방문하신 분은 http://blog.empas.com/honestyun/29583017 로 직접 가시면 알약을 보완하는 프로그램인 존알람을 설치하는 안내가 있습니다.
위의 그림은 알약으로 기본검사를 하여 발견한 kvsoft.exe 스파이웨어입니다.이것이 나타난 것은 상당히 오래되었습니다.
리니지의 아이디와 패스워드를 훔치기 위한 스파이웨어라고 합니다.저는 리니지를 전혀 하지도 않는데도 자꾸 감염이 되고 알약으로 몆번을 치료하였지만 재감염되었습니다.
이 스파이웨어에 감염되면 내문서 -->폴더 옵션 -->보기 텝에서 위의 화살표처럼 보호된 운영체제파일 숨기기 (권장)이 체크가 저절로 해제되어 있습니다(정상이면 체크되어 있는 것이 일반적임).
바로 아래 숨김파일 및 폴더표시 가 체크 해제되어 있습니다 (정상이면 바로 아래의 "숨김 파일 및 폴도 표시 안 함 에 체크되어 있는 것이 일반적임). 이외에도 몆가지 파일이 설치되지만 전문적인 것이라 생략합니다.
또한 이 스파이웨어에 감염되면 c --> windows--> Prefetch 폴더에 위의 그림의 화살표와 같은 파일이 있습니다.
바이러스와 상관없이 이 prefech에 있는 모든 파일을 삭제하세요. 윈도의 속도가 빨라 집니다. 이 스파이웨어를 상당한 기간 여러 차례 재감염되고 그 때마다 알약으로 치료를 하였지만 재감염이 되자 검색을 해보니 아래와 같은 유사한 사례들이 있네요.
다음글 참조.
http://blog.daum.net/youhho/14909809
http://labs.no-ad.co.kr/net/SpywareInfo.aspx?name=Win32.Spyware.kvosoft
아래 사이트에서는 반대로 숨김파일을 보려고 해도 보이지 않도록 하는 변종인지 원종인지 같은 바이러스 치료안내.
http://pcsafer.chol.com/Virus_Contents.asp?seq=563&GotoPage=1 어제 알약으로 다시 치료를 하고 오늘 다시 재감염이 되지 않는 것을 보니 이제 알약이 확실히 치료를 하였나 봅니다. 아래의 글은 이후 다시 감염된 스파이웨어입니다.
----------------------------------------------------------------------------------------------
다시 감염됩니다. 아마도 위 버전과 다른 것 같습니다. 2회에 걸쳐 치료한 것을 캡쳐하였습니다. 위의 증상과 다른 모습입니다. 알약이 자동으로 감지하고 치료한 결과입니다. 아래 그림은 먼저 치료한 결과입니다. 스파이웨어 6개가 감염되었습니다.
이 부분은 조사를 하지 않고 삭제하였습니다.
아래 그림은 오늘 검사를 하고 삭제하기 전에 전에 레지스트리검사를 해 본 결과입니다.
키의 위치 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
시작 프로그램에 등록이 되어 윈도시작하면 바로 활동을 시작하는 듯 하지요. 프로세스에는 나오지 않는데 .
Run 키의 위치 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
아래 그림처럼 알약으로 치료합니다.
이 스파이웨어가 어떻게 감염이 되는가 궁금합니다. 백신을 꺼둔 상태에서 인터넷에 접속하면 즉시 바이러스에 감염된다는 뉴스들이 있었습니다.인터넷 접속을 하지 않으면 백신의 실시간 감시기능을 꺼두기도 합니다. 그 상태에서 무심코 인터넷에 연결하면 재수없는 순간에 바이러스가 침투하여 감염이 되는가 봅니다.
----------------------------------------------------------------------------
알약으로 실시간 감시를 하여도 바이러스등이 자동적으로 감염이 됩니다. 위의 업데이트 후에 실시간 감시를 하였지만 다시 kvosoft.exe가 감염이 되었습니다. 아마도 감염 원인은 인터넷선으로 해커가 제 컴퓨터 포트를 스캔하여 침투하는 듯 합니다.
이런 결과는 윈도엑스피서비스팩3으로 업데이트를 하여야 하는데 컴의 사양이 낮아서 업데이트를 하지 않기때문에 일어나는 듯 합니다.이런 환경에서 바이러스등이 인터넷선으로 침투하는 것을 막는 최선의 방법은 방화벽 프로그램 설치입니다.
그래서 방화벽프로그램인 존알람을 설치하였더니 이제는 바이러스등이 침투하지 못합니다. 무료인 존알람의 설치와 환경설정 방법은 다음의 페이지에 있습니다.
http://blog.empas.com/honestyun/29583017
=====================================================
저절로 해제된 방화벽
저는 가끔 확인해보면 방화벽이 저절로 열려 있는 것을 봅니다.
방화벽 위치는 시작 -->설정 -->제어판 -->Windows 방화벽 입니다.
===윈도의 방화벽에 관한 안내입니다.===
Microsoft Windows XP SP2(Service Pack 2)에서 Windows 방화벽은 기본적으로 설정되어 있지만 일부 컴퓨터 제조업체나 네트워크 관리자가 해제했을 수도 있습니다. 사용자가 직접 방화벽(프로그램)을 선택하여 설치하고 실행할 수 있으므로 Windows 방화벽을 반드시 사용할 필요는 없습니다. 다른 방화벽의 기능을 평가한 다음 사용자 요구에 가장 잘 맞는 방화벽을 선택하십시오. 다른 방화벽을 설치하고 실행하기로 선택한 경우 Windows 방화벽 설정은 해제하십시오.
<----이를 참고하면 저의 경우 존알람방화벽 프로그램 때문에 저절로 항상 방화벽이 해제되었습니다. 방화벽이 해제되는 원인은 꼭 바이러스 때문이라고 볼 수는 없습니다. 존알람을 설치하여 방화벽이 해제되어도 더 이상 바이러스 등이 감염되지 못하네요. 아래 그림은 오늘 알약으로 바이러스 검사한 결과입니다.
* 최종 수정 2009.1.20.
존알람 설치후 오늘까지 바이러스에 감염이 되지 않았습니다.
===============================================================
asd현아.. 08.07.10 03:19
컴을 쓰는 사람들에게 꼭 필요하면서도 유용한 정보를 올려 주셨네요. 저도 사용해 보겟습니다 ..감사요 *^^*
└ 거북이 08.07.10 11:52
컴이 평소와 다른 기미가 보이면 바이러스 검사를 해보셔야 합니다. 현아님 컴에 아무 이상이 없었으면 합니다.
---------------------
열무김치 08.08.02 21:30
좋은자료 만나고 갑니다. 사용을 해 보겠습니다.
└ 거북이 08.08.15 11:39
알약이 무료지만 성능은 뛰어난 것 같습니다.
---------------------------------------------------
KVOSOFT-_- 08.08.10 17:22
아 정말 님.. 감사요~
└ 거북이 08.08.15 11:39
고맙습니다.
----------------------------------------------
물레방아 08.11.15 19:45
아 마도 감염 원인은 인터넷선으로 해커가 제 컴퓨터 포트를 스캔하여 침투하는 듯 합니다. <- 가당치도 않는 소리고요, 혹시 집에 당나귀, 프루나. 혹은 각종 p2p 프로그램이나 '포인트 혹은 캐쉬'로 다른 사람이 올린 파일 다운 받는 형식의 사이트 이용하고 계십니까? 그런 것을 사용하시면서 걸리는 겁니다. 각종 동영상이나, 게임, 영화, 애니 등등 업로드 한 사람도 자신의 컴에 저 위의 바이러스가 걸려있는 줄 모를테지요... 거의 대부분이 학생들일테니 말입니다.
포인트 좀 벌어보려고, 출처도 알 수 없는 이상한 사이트에서 이것 저것 다운 받은 다음에 그걸 각종 P2P 사이트에다가 업로드를 합니다. 반응 좋죠~ 사람들 좋다고 다운들 받아갑니다. 다운 받은 사람들이 전부 바이러스에 감염이 되죠, 그것도 모르고 다운받은 사람들 좋다고 자기 개인 디스크 및 지인들에게 복사해 넘겨줍니다. 복사해 넘겨받은 사람들도 바이러스에 감염이 됩니다. 이런식으로 한두 끝도 없이 퍼집니다.
인터넷 선으로 해커가 침입하는 건, 정말 거대한 기업에 정말 돈이 될만한 정보가 있는 경우에 전문 해커들이 쓰는 방법일테죠... 공상과학 영화를 많이 보신듯 하군요...ㅎㅎ
2011.5.2.보충.
위의 댓글에 대한 보충 설명이 필요합니다.
지금까지 당나귀 같은 p2p 프로그램들을 사용하지 않습니다.
프로그램도 윈도인 때부터 지금 리눅스 환경까지 프리웨어만 사용합니다.
영화파일이나 프로그램을 불법으로 다운받아 보거나 사용하지 않습니다.
그렇지만 윈도 환경에서는 나도 모르게 어디 페이지를 클릭하면 순식간에 바이러스 등이 감염될 수도 있죠.
그래서 윈도에서도 파이어폭스 브라우저를 사용하여 특정 페이지를 방문하려고 하면
브라우저에서 악성코드에 감염된 곳이라고 경고를 합니다.
익스플로러보다 속도도 파이어폭스가 조금 더 빠르고 좋은 점이 많습니다.
└ 거북이 08.11.26 18:12
방문해주시고 자세한 댓글 감사합니다. 제 컴으로 오는 오는 무작위의 포트스캔을 캡쳐하여 본문에 새 글로 올려 보여드립니다. 제컴을 포트스캔하려던 것을 차단한 존알람 경보가 있네요. 포트스캔은 법인이나 개인이나 가리지 않는 듯 합니다. 전부터 존알람 경보 내용을 올리려던 참인데 ..........
└ 거북이 08.11.25 01:49
몆년전에 정통부에선가 실험한 것으로 피씨방 컴퓨터를 대상으로 백신이 없으면 5분안에 바이러스가 감염된다는 뉴스도 보았네요. 제 말이 믿기지 않는다면 여담입니다만 혹시 물레방아님이 다음에 윈도를 재설치하실 일이 있다면 인터넷선 연결하고 윈도설치 한번 해보세요. ㅎㅎ
└ 거북이 08.11.16 09:55
혹시 서버쪽 일을 하시는 분이시라면 감염원인에 대한 조언을 주신다면 어떤 원인으로 인한 결과라고 보십니까?. 저는 이쪽과 무관한 사람이라 다른 분들께 도움이 될까 하여 드린 말씀입니다. 저는 이제 바이러스에서 해방이 된 것인지 존알람을 설치한 후로 바이러스를 알약이 진단한 일은 없습니다. 평소에는 알약을 꺼두고 가끔 생각나면 한번씩 알약업데이트후에 검사한 결과입니다. 감사합니다.
└ 거북이 08.11.26 18:15
안철수 연구소--웜/바이러스 취약 PC의 생존가능시간(Survival Time) 및 감염유형
http://kr.ahnlab.com/viewStatistics.ahn?seq=208&category=22
웜/바이러스 취약 PC의 생존가능시간(Survival Time) 및 감염유형
- 윈도우 로그인 패스워드 및 보안 업데이트를 설치하지 않은 WinXP 및 Win2K PC를 인터넷에 연결한 후 생존가능시간을 측정하였다. 측정 결과는 Win2K의 경우 3분 54초, WinXP의 경우 42초가 전월에 비하여 단축되었다. 안전한 PC 사용을 위해서는 주기적인 보안패치 등이 반드시 필요하다.
※ 생존가능시간 : 시스템이 인터넷에 연결된 상태에서 웜이나 악성코드에 감염될 때까지의 시간
※ 자세한 시험환경은 '2005.1월 인터넷침해사고 동향 및 분석월보'의 월간특집을 참고
└ 거북이 08.11.16 10:47
제 컴을 누군가가 포트스캔을 시도한 장면
http://blog.empas.com/honestyun/read.html?a=31417046
└ 거북이 08.11.26 18:13
http://media.daum.net/digital/internet/view.html?cateid=1067&newsid=20081124194707556&p=yonhap
이런 기사도 참고하실 필요가 있을 듯 합니다.
***저 같은 개인의 컴퓨터는 포트스캔을 시도해도 별다른 문제가 없을 듯 합니다.
위 조사결과를 보여주는 컴퓨터는 블로그만 하고 다른 것은 하지 않으니까요.