Hacked by Pokemon

언제부터인지는 모르겠으나, 병원 및 연건 캠퍼스를 중심으로 무지막지한 웜이 하나돌아다니고 있다. 별다른 해를 끼치는 것 같지는 않은데, 자동실행이 안되고, 더블 클릭으로 폴더가 열리지 않는 증상이 발생한다. 이것이 점차 진행하면 internet explorer에 Hacked by Pokemon이라는 글자가 적힌다.

 

골치아픈 점은 V3에서도 잘 잡히지 않고(하드디스크는 치료가능하지만, 원인이 되는 이동식디스크는 못잡는다.), No-Ad 다간다에서도 잡히지 않아서 실제로 치료가 매우 귀찮다는 것.

 

그러던 중, naver에서 해결책을 발견하였고, 효과적이었으며, 앞으로도 계속하여 감염가능성이 있기에, 이 글을 올려둔다. 이 글은 저자의 허락을 받고 올리는 것이며, 이에 대한 권리와 책임은 원 저자에게 있음을 알린다.

 

저자: naver ID scintilla179

원문 바로가기

 

영어를 읽으실 수 있는 분들은

http://www.zooltechnology.com/content/index.php?option=com_content&task=view&id=130&Itemid=76

 

여기서 직접 읽으세요.

 

인터넷 창 이름에 hacked by pokemon 이 나온 다음부터 죽어도 안 없어져서 해킹당한 줄 아셨던 분들이 혹시라도 계실까봐 적습니다. 지식인에 답변 딱 하나 있는데 전혀 도움 안 되더군요.

 

이건 해킹된 것도 아니고 바이러스도 아니랍니다. 그렇게 치명적인 건 아니래요.

 

암튼 지우는 법!

 

1. 감염되었나 확인해 봅니다.

 

내 컴퓨터에서 하드 디스크 파티션(C: 이런 식으로 되어있는 거) 아이콘을 마우스 오른쪽 버튼으로 클릭해 봅니다.

 

맨 위에 굵은 글씨가 '열기'로 되어 있으면 컴퓨터 안에 나쁜 파일이 없는 거고, '자동 실행'으로 되어 있으면 파일이 있는 겁니다.

 

더블클릭하면 자동 실행이 되어서 hacked by pokemon이 (다시) 뜨게 되니까 주의=_=

 

2. 숨겨진 파일을 보이게 합니다.

 

열기를 눌러서 조심스레 하드 디스크를 엽니다.

 

도구-폴더 옵션-보기 탭을 누른 다음 숨김 파일 폴더를 표시하게 하고 운영체제 시스템 파일 숨기기를 해제합니다.

 

나쁜 파일이 시스템 파일이라 그래야 보여요.

 

3. 프로세스를 중지시킵니다.

 

ctrl+alt+delete를 눌러서 작업 관리자 열고 프로세스에서 wscript.exe 를 중지시킵니다.

 

중지 안 시키면 안 지워져요. 사용중이라고 뜨고.=_=

 

4. 파일을 지웁니다.

 

아까 보이게 만든 숨겨진 파일들 중에 autorun.inf 랑 bha.vbs.dll 을 지웁니다.

 

5. System Volume Information 에 접근할 수 있게 만듭니다.

 

Administrator로 로그인 한 다음에 (보통 안전모드에서만 가능하더군요)

 

지금 작업하고 있는 하드 디스크 파티션 아래의 System Volume Information 폴더 (숨김 폴더예요)를 마우스 오른쪽 버튼으로 클릭합니다.

 

그리고 공유 및 보안...을 누르세요.

그럼 보안 탭이 나와요. (다른 계정으로 로그인하면 안 나와요)

거기서 아까 작업하고 있던 계정에 모든 권한을 주세요. 이름부터 등록하고 다음에 아래에서 모든 권한에 체크하면 됩니다.

 

6. vbs 파일을 지웁니다.

이제 접근이 가능해진 System Volume Information 폴더를 또 마우스 오른쪽 버튼으로 클릭한 다음에 찾기(검색)를 합니다. 찾을 때 숨김 파일까지 모두 찾게 설정한 다음 *.vbs 파일을 찾으세요. 그러면 파일이 나옵니다. 하나 당 4kb 짜리 파일들이 많이 나오는데, 그 파일들을 모조리 다 지우셔야 합니다.

 

7. 레지스트리를 수정합니다.

이제 대망의 마지막 입니다. =_=

 

시작-실행-regedit 으로 레지스트리 편집기를 실행한 다음 두 개의 값을 찾아서 지우면 됩니다.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

여기서 MS32DLL 이라는 이름을 지우세요. =_=

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

여기서 Window Title 이라는 이름을 지우세요.

 

8. 재부팅

재부팅 하시고 인터넷 창 이름이 정상으로 돌아왔는지 확인해 보세요. 정상으로 돌아오지 않았다면 다시 처음부터 반복하셔야 합니다....=_=

그리고 내 컴퓨터를 열어서 로컬 디스크를 마우스 오른쪽 버튼으로 선택해서 볼드체로 맨 위에 나와 있는 항목이 '열기'로 되어 있는지 확인하세요.

 

안 되어 있다면 아직 파일이 남아 있는 거예요. 조심스럽게 열기를 눌러서 파일을 지우신 다음 시스템 볼륨 인포메이션 폴더에서 vbs 파일들을 다시 한 번 지워보세요.

 

이 상태에서 모르고 더블클릭을 하면 인터넷 창 이름이 다시 이상해져 버립니다.

 

아, 이 바이러스(?)는 이동식 디스크로 옮는다는 것을 유념하세요.

이동식 디스크에서 이 파일들을 없애는 방법은 간단합니다.

 

우선 이동식 디스크를 꽂고!

절대 자동실행 하지 마세요...

 

그 다음에 내 컴퓨터에서 마우스 오른쪽 버튼으로 눌러보면 또 자동 실행이 굵은 글씨로 되어 있습니다. 더블클릭하면 안됩니다. 열기를 선택하세요.

 

그 다음 폴더 옵션에서 똑같이 파일이 보이게 만들면 방금 컴퓨터에서 지웠던 파일 두 개가 보입니다. 파일을 지우세요.

 

그러면 이제 다른 컴퓨터에도 안 옮아요. 하하