죽일 수 없는 바이러스! 어떻게 해야 할까요?``````
트로이 목마 바이러스!
이 바이러스를 제거하는 방법은 무엇입니까? 트로이 목마(Trojan Horse)
완전한 트로이 목마 프로그램은 일반적으로 두 부분으로 구성됩니다. 하나는 서버 프로그램이고 다른 하나는 컨트롤러 프로그램입니다. "트로이 목마에 걸렸다"는 것은 트로이 목마 서버 프로그램이 설치되어 있다는 뜻입니다. 서버 프로그램이 컴퓨터에 설치되어 있으면, 이때 컨트롤러 프로그램을 가진 사람이 네트워크를 통해 여러분의 컴퓨터를 제어하여 원하는 대로 할 수 있습니다. 귀하의 컴퓨터에서 사용되는 다양한 파일, 프로그램, 계정 및 비밀번호는 더 이상 안전하지 않습니다.
트로이 목마 프로그램은 바이러스로 간주할 수 없지만 점점 더 새로운 버전의 안티 바이러스 소프트웨어가 일부 트로이 목마를 탐지하고 죽이기 시작하여 많은 사람들이 트로이 목마 프로그램을 해커 바이러스라고 부릅니다.
트로이 목마 시작 방법
1. Win.ini에서 시작
Win.ini의 [windows] 필드에 시작 명령 " load" =" 및 "run="은 일반적으로 "=" 뒤에 공백이 옵니다. 예를 들어 뒤에 프로그램이 있는 경우 다음과 같습니다.
run=c:\windows \file.exe
p>load=c:\windows\file.exe
주의하세요. 이 file.exe는 트로이 목마일 가능성이 높습니다.
2. System.ini에서 시작
System.ini는 Windows 설치 디렉터리에 있으며 [boot] 필드의 shell=Explorer.exe는 숨겨진 항목 중 하나입니다. 따라서 트로이 목마의 일반적인 접근 방식은 다음과 같이 변경하는 것입니다: shell=Explorer.exefile.exe. 여기서 file.exe는 트로이 목마 서버 프로그램이라는 점에 유의하세요!
또한 System.의 [386Enh] 필드에서 이 섹션의 "드라이버=경로\프로그램 이름"을 확인하세요. 여기에서도 트로이 목마가 악용할 수 있습니다. 또한 System.ini의 세 필드 [mic], [drivers] 및 [drivers32]도 드라이버를 로드하는 데 사용되지만 트로이 목마를 추가하기에 좋은 장소이기도 합니다.
3. 레지스트리를 사용하여 로드 및 실행
아래 표시된 레지스트리 위치는 트로이 목마가 숨기고 로드하는 데 가장 선호하는 위치입니다.
4. Autoexec.bat 및 Config.sys를 로드하고 실행합니다.
C 드라이브의 루트 디렉터리에 있는 이 두 파일도 트로이 목마를 시작할 수 있습니다. 그러나 이 로딩 방식은 일반적으로 컨트롤 사용자가 서버와 연결을 맺은 후 트로이 목마 시작 명령이 추가된 동일한 이름의 파일을 서버에 업로드하여 두 파일을 덮어써야 하는 방식으로, 이 방식은 별로 좋지 않습니다. 은밀한. 발견되기 쉬우므로 Autoexec.bat 및 Confings에 트로이 목마 프로그램을 로드하는 경우는 드물지만 이를 가볍게 여겨서는 안 됩니다.
5. Winstart.bat에서 시작
Winstart.bat는 Autoexec.bat 못지 않게 특별한 배치 파일이면서 자동으로 로드할 수 있는 배치 파일이기도 합니다. Windows에서 실행합니다. 대부분의 경우 애플리케이션과 Windows에서는 자동으로 생성되며, Windows를 실행하고 Win.com을 실행한 후 대부분의 드라이버를 추가하면 자동으로 생성됩니다.
실행 시작(이는 실행을 누르면 찾을 수 있습니다. F8을 누르고 시작 프로세스를 점진적으로 추적하는 시작 방법을 선택하여 종료합니다. Autoexec.bat의 기능은 Witart.bat에 의해 완료될 수 있으므로 Autoexec.bat와 마찬가지로 트로이 목마가 로드되어 실행될 수 있으며 이로 인해 위험이 발생합니다.
6. 스타트업 그룹
트로이 목마가 스타트업 그룹에 숨겨져 있으면 잘 숨겨지지는 않지만, 확실히 자동 로딩과 실행을 하기에는 좋은 곳이라 아직까지 트로이 목마가 남아있습니다. 여기에 거주하는 것을 좋아합니다.
시작 그룹에 해당하는 폴더는 C:\Windows\start menu\programs\startup이고 레지스트리에서의 해당 위치는 다음과 같습니다. HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Explorer\shell
폴더 시작 =" c:\windows\시작 메뉴\프로그램\시작". 시작 그룹을 자주 확인하세요!
7.*.INI
즉, 응용 프로그램의 시작 구성 파일은 이러한 파일의 특성을 사용하여 시작됩니다. 프로그램을 실행하고 트로이 목마 시작 명령을 사용하여 동일한 이름의 파일을 서버에 업로드하여 동일한 이름의 파일을 덮어쓰므로 트로이 목마 시작 목적을 달성할 수 있습니다. winint.ini에서 이 방법을 한 번만 시작하십시오(추가 설치에 사용됨).
8. 파일 연결 수정
파일 연결 수정은 일반적인 상황에서 트로이 목마(주로 국내 트로이 목마, 대부분의 외국 트로이 목마에는 이 기능이 없음)가 사용하는 일반적인 방법입니다. , TXT 파일 여는 방법은 Notepad.EXE 파일인데 일단 파일 연관 트로이 목마가 걸리면 txt 파일의 여는 방법이 트로이 목마 프로그램으로 열리도록 수정된다. "Binghe"는 HKEY_CLASSES_ROOT\ txtfile\whell\open\command 아래의 키 값을 수정하여 수행되며, 국내 유명 HKEY-CLASSES-ROOT\txt\shell\open과 같은 메모장으로 "C:\WINDOWS\NOTEPAD.EXE를 엽니다. \commandT 키 값을 "C:\WINDOWS\NOTEPAD.EXE%l"에서 "C:\WINDOWS\SYSTEM\SYSEXPLR.EXE%l"로 변경합니다. 이런 식으로 TXT 파일을 두 번 클릭하면 원래 사용했던 메모장으로 파일을 열었는데 이제 트로이 목마 프로그램이 시작되서 너무 악랄하네요! TXT 파일뿐만 아니라 HTM, EXE, ZIP.COM 등 다른 개체도 대상이 된다는 점 참고하세요! 트로이 목마. 이러한 트로이 목마를 처리할 때는 주의하세요.
HKEY_C\shell\open\command 기본 키만 자주 확인하여 해당 키 값이 정상인지 확인할 수 있습니다. >9. 묶음 파일
이러한 유발 조건을 실현하려면 먼저 단말과 서비스를 제어해야 하며, 끝은 트로이 목마를 통해 연결을 설정한 다음 제어 최종 사용자가 도구 소프트웨어를 사용하여 트로이 목마를 묶습니다. 이렇게 하면 트로이목마가 삭제되더라도 해당 트로이목마와 함께 제공된 애플리케이션이 실행되는 동안에는 트로이목마가 설치됩니다. 특정 애플리케이션에 바인딩되어 있으면 시스템 파일에 바인딩되어 있으면 Windows가 시작될 때마다 트로이 목마가 실행됩니다.
10. 리바인드 포트 유형 트로이목마의 활성 연결 방법입니다.
반송 포트 유형인 Trojan에 대해서는 앞서 언급한 바 있습니다. 일반 Trojan과 상반되기 때문에 해당 서버(제어 측)가 클라이언트(제어 측)와 적극적으로 연결을 설정하고 일반적으로 Listening 포트가 열려 있습니다. 80이므로 적절한 도구와 풍부한 경험 없이는 예방하기가 정말 어렵습니다. 이러한 유형의 트로이 목마의 전형적인 대표자는 인터넷 도둑입니다." 이러한 트로이 목마는 여전히 레지스트리에 키-값 변경을 생성해야 하므로 이를 탐지하는 것이 어렵지 않습니다. 동시에 최신 Skynet 방화벽(세 번째 항목에서 설명한 대로)에 주의를 기울이면 Network Thief 서버가 활성 연결을 설정할 때도 찾을 수 있습니다.
WORM_NUGACHE.G(Wiking) 및 TROJ_CLAGGE.B 트로이 목마(트로이 목마)
해결책:
WORM_NUGACHE.G(Wiking)
바이러스 패턴 출시 날짜: 2006년 12월 8일
해결책:
참고: 관련된 모든 악성 코드를 완전히 제거하려면 TROJ_DLOADER.IBZ에 대한 깨끗한 솔루션을 수행하십시오.
악성 프로그램 종료
이 절차는 실행 중인 악성 코드 프로세스를 종료합니다.
Windows 작업 관리자를 엽니다. Windows 98 및 ME에서는
CTRL+ALT를 누릅니다. +DELETE Windows NT, 2000, XP 및 Server 2003에서는
CTRL+SHIFT+ESC를 누른 다음 프로세스 탭을 클릭하세요.
실행 중인 프로그램* 목록에서 프로세스:
MSTC.EXE
악성 코드 프로세스를 선택한 다음 컴퓨터의 Windows 버전에 따라 작업 끝내기 또는 프로세스 끝내기 버튼을 누르세요.
맬웨어 프로세스가 종료되었는지 확인하려면 작업 관리자를 닫은 다음 다시 엽니다.
작업 관리자를 닫습니다.
*참고: Windows 98을 실행하는 컴퓨터의 경우. ME 및 ME에서는 Windows 작업 관리자가 특정 프로세스를 표시하지 않을 수 있습니다.
모든 Windows 플랫폼을 실행하는 컴퓨터에서 찾고 있는 프로세스가 있는 경우 프로세스 탐색기와 같은 타사 프로세스 뷰어를 사용할 수 있습니다. 작업 관리자 또는 프로세스 탐색기에 표시되는 목록에 악성 코드 프로세스가 표시되어 있지만 종료할 수 없는 경우 추가 지침을 참고하여 다음 해결 절차를 계속 진행하세요.
Edi를 안전 모드로 다시 시작하세요.
레지스트리 설정
이 악성 코드는 컴퓨터의 레지스트리를 수정합니다. 이 악성 코드의 영향을 받는 사용자는 특정 레지스트리 키나 항목을 수정하거나 삭제해야 할 수도 있습니다. 레지스트리 편집에 관한 자세한 내용은 Microsoft의 다음 문서를 참조하세요.
방법: Windows 95, Windows 98 및 Windows ME에서 레지스트리 백업, 편집 및 복원
방법: Windows NT 4.0에서 레지스트리 백업, 편집 및 복원
방법: Windows 2000에서 레지스트리 백업, 편집 및 복원
방법: Windows XP 및 Server 2003에서 레지스트리 백업, 편집 및 복원
레지스트리에서 자동 시작 항목 제거
레지스트리에서 자동 시작 항목을 제거하면 시작 시 악성 코드가 실행되지 않습니다.
아래 레지스트리 항목이 없으면 악성 코드가 실행되지 않을 수 있습니다. 그렇다면 다음 솔루션 세트로 진행하세요.
레지스트리 편집기를 엽니다. 시작>실행을 클릭하고 REGEDIT를 입력한 다음
왼쪽 패널에서 Enter를 누르세요. 에서 다음을 두 번 클릭합니다.
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>
Windows>CurrentVersion>실행
오른쪽 패널에서 항목을 찾아 삭제합니다.
Microsoft 도메인 컨트롤러 = "%System%\mstc.exe"
(참고: %System%는 Windows 시스템 폴더로, 일반적으로 Windows에서는 C:\Windows\System입니다. 98 및 ME, Windows NT 및 2000의 경우 C:\WINNT\System32, Windows XP 및 Server 2003의 경우 C:\Windows\System32.)
레지스트리에서 추가된 키 제거
에스
레지스트리 편집기의 왼쪽 패널에서 다음을 두 번 클릭합니다.
HKEY_LOCAL_MACHINE>SOFTWARE
왼쪽 패널에서 다음 키를 찾아 삭제합니다.
GNU
레지스트리 편집기를 닫습니다.
중요 Windows ME/XP 정리 지침
Windows ME 및 XP를 실행하는 사용자는 전체 검사를 허용하려면 시스템 복원을 비활성화해야 합니다.
다른 Windows 버전을 실행하는 사용자는 다음 솔루션 세트를 진행할 수 있습니다.
Trend Micro Antivirus를 실행 중인 경우
안전 모드에서는 다음 해결 방법을 수행하기 전에 컴퓨터를 정상적으로 다시 시작하십시오.
Trend Micro 바이러스 백신으로 컴퓨터를 검사하고 WORM_NUGACHE.G로 탐지된 파일을 삭제하려면 Trend Micro 고객이 최신 바이러스 패턴을 다운로드해야 합니다. 다른 인터넷 사용자는 Trend Micro 온라인 바이러스 스캐너인 HouseCall을 사용할 수 있습니다.
패치 적용
이 악성 코드는 Windows의 알려진 취약점을 다운로드하고 설치합니다. 적절한 패치가 설치될 때까지 이 제품을 사용하지 마십시오.
TROJ_CLAGGE.B 트로이 목마
바이러스 패턴 출시일: 2006년 9월 18일
해결책:
악성 프로그램 식별
이 악성 코드를 제거하려면 먼저 악성 코드 프로그램을 식별하십시오.
Trend Micro 바이러스 백신 제품으로 컴퓨터를 검사하세요.
경로와 내용을 참고하세요.
TROJ_CLAGGE.B로 탐지된 모든 파일의 파일 이름
Trend Micro 고객은 컴퓨터를 검사하기 전에 최신 바이러스 패턴 파일을 다운로드해야 합니다. 다른 사용자는 Trend Micro 온라인 바이러스 스캐너인 Housecall을 사용할 수 있습니다. >
레지스트리 편집
이 악성 코드는 컴퓨터의 레지스트리를 수정합니다. 이 악성 코드의 영향을 받는 사용자는 특정 레지스트리 키나 항목을 수정하거나 삭제해야 할 수 있습니다. 레지스트리 편집에 대한 자세한 내용은 다음을 참조하세요. Microsoft 기사:
방법: Windows 95, Windows 98 및 Windows ME에서 레지스트리 백업, 편집 및 복원
방법: 레지스트리 백업, 편집 및 복원 Windows NT 4.0
방법: Windows 2000에서 레지스트리 백업, 편집 및 복원
방법: Windows XP 및 Server 2003에서 레지스트리 백업, 편집 및 복원
레지스트리에서 악성 코드 항목 제거
레지스트리 편집기를 엽니다. 시작>실행을 클릭하고 REGEDIT를 입력한 다음 Enter를 누릅니다.
왼쪽 패널에서 다음을 두 번 누릅니다. 다음을 클릭하세요:
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>
SharedAccess>Parameters>FiREWaLLpolicy>StAnDaRDPrOFiLe>
AUtHorizedapplications>List
오른쪽 패널에서 항목을 찾아서 삭제하세요:
{Malware path and file name} ="{Malware path and file name}:*:ENABLED:0"
닫기 레지스트리 편집기
중요 Windows ME/XP 정리 지침
Windows ME 및 XP를 실행하는 사용자는 시스템 복원을 비활성화해야 합니다.
다른 Windows 버전을 실행하는 사용자는 다음 솔루션 세트를 진행할 수 있습니다.
Trend Micro Antivirus 실행
현재 안전 모드로 실행 중인 경우 다음 해결 방법을 수행하기 전에 컴퓨터를 정상적으로 다시 시작하십시오.
Trend Micro 바이러스 백신으로 컴퓨터를 검사하고 TROJ_CLAGGE.B 및 TROJ_KEYLOG.CO로 감지된 파일을 삭제하십시오. 고객은 최신 바이러스 패턴 파일을 다운로드하고 컴퓨터를 검사해야 합니다. 다른 인터넷 사용자는 Trend Micro 온라인 바이러스 스캐너인 HouseCall을 사용할 수 있습니다.