본문 바로가기
IT 보안소식

키보드 레이아웃(Keyboard Layout)을 이용한 악성코드 변종 주의(10-06-18)

by 잡다한 처리 2010. 6. 18.
반응형



예전 키보드 레이아웃을 이용한 악성코드에 대해서 잠깐 소개한 적이 있었다.
한동안 잠잠하더니~ 다시 활발히 활동 하고 있어, 사용자들의 주의가 필요하다.


이전 기록과는 다른 도메인으로 전파 중이다.
내가 발견 한 기록은 5월 3일경 처음 발견했다.
물론 그전에도 있었겠지만;; 나의 모니터링에는 이쯤부터 변경된 듯 하다.

- 이전 전파형식
http://a(랜덤2자리).bij.pl/(랜덤숫자 1~2자리)/689sd.htm
http://a(랜덤2자리).bij.pl/(랜덤숫자 1~2자리)/738sd.htm
http://x(랜덤2자리).ss.la/(랜덤숫자 1~2자리)/588sd.htm
http://x(랜덤2자리).ss.la/(랜덤숫자 1~2자리)/172sd.htm
http://g(랜덤2자리).ss.la/(랜덤숫자 1~2자리)/360sd.htm
http://g(랜덤2자리).nna.cc/(랜덤숫자 1~2자리)/360sd.htm

- 현재 전파형식
http://a(랜덤2자리).(랜덤숫자 4자리).org/(랜덤숫자 2자리)/181ay.htm
http://a(랜덤2자리).(랜덤숫자 4자리).org/(랜덤숫자 2자리)/206ay.htm
http://a(랜덤2자리).(랜덤숫자 4자리).org/(랜덤숫자 2자리)/207ay.htm
http://a(랜덤2자리).(랜덤숫자 4자리).org/(랜덤숫자 2자리)/279ay.htm

5월달에 수집 된 샘플들이다.


6월달에 들어서는 ime 파일이 아닌 log파일로 수정되었다.



악성코드에 감염되면, 사용자는 한글을 쓰기 어려우며 CMD창 하단에 다음과 같이 보여진다.
혹시 한글이 안써질 경우 다음(시작  -> 실행 ->  cmd.exe)과 같이 확인해보길 바란다.



악성파일에 감염되면 한/영키로는 한글이 써지지 않는다.
왼쪽 Alt + Shift 로 변환 하면 한글 사용은 가능하다.


- 수동 해결 방법
1. 제어판 - 국가 및 언어 옵션 - 언어 탭 - 자세히 클릭 후 밑에 그림과 같이 중국어 키보드 제거!!

2. 시작 - 실행 - regedit 실행 후 
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layouts\E0200804" 레지스트리 삭제

* 레지스트리를 지울 때 주의!!
예전 해당 레지스트리값이 정상적인 프로그램에서 사용 된 적이 있었음
따라서 ime File의 값이 DADSS.LOG 또는 ShIyOnG.log 인지 확인이 필요함

"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls" 로 이동 후
"AppSecDll" = "C:\WINDOWS\system32\DadSS.log" 삭제



이외에도 ARP 스푸핑, 에드웨어, 스파이웨어 등이 같이 설치 되니 사용하는 백신을 항상 최신으로 유지하고 실시간감시를 켜두는것이 좋다.

댓글