키보드 레이아웃(Keyboard Layout)을 이용한 악성코드 변종 주의(10-06-18)

예전 키보드 레이아웃을 이용한 악성코드에 대해서 잠깐 소개한 적이 있었다.

한동안 잠잠하더니~ 다시 활발히 활동 하고 있어, 사용자들의 주의가 필요하다.

- 관련글

2010/03/08 - [악성코드소식] - 키보드 레이아웃(Keyboard Layout)을 이용한 악성코드 배포 주의!!

이전 기록과는 다른 도메인으로 전파 중이다.

내가 발견 한 기록은 5월 3일경 처음 발견했다.

물론 그전에도 있었겠지만;; 나의 모니터링에는 이쯤부터 변경된 듯 하다.

- 이전 전파형식
http://a(랜덤2자리).bij.pl/(랜덤숫자 1~2자리)/689sd.htm
http://a(랜덤2자리).bij.pl/(랜덤숫자 1~2자리)/738sd.htm
http://x(랜덤2자리).ss.la/(랜덤숫자 1~2자리)/588sd.htm
http://x(랜덤2자리).ss.la/(랜덤숫자 1~2자리)/172sd.htm
http://g(랜덤2자리).ss.la/(랜덤숫자 1~2자리)/360sd.htm
http://g(랜덤2자리).nna.cc/(랜덤숫자 1~2자리)/360sd.htm

- 현재 전파형식
http://a(랜덤2자리).(랜덤숫자 4자리).org/(랜덤숫자 2자리)/181ay.htm
http://a(랜덤2자리).(랜덤숫자 4자리).org/(랜덤숫자 2자리)/206ay.htm
http://a(랜덤2자리).(랜덤숫자 4자리).org/(랜덤숫자 2자리)/207ay.htm
http://a(랜덤2자리).(랜덤숫자 4자리).org/(랜덤숫자 2자리)/279ay.htm

5월달에 수집 된 샘플들이다.

6월달에 들어서는 ime 파일이 아닌 log파일로 수정되었다.

악성코드에 감염되면, 사용자는 한글을 쓰기 어려우며 CMD창 하단에 다음과 같이 보여진다.

혹시 한글이 안써질 경우 다음(시작  -> 실행 ->  cmd.exe)과 같이 확인해보길 바란다.

악성파일에 감염되면 한/영키로는 한글이 써지지 않는다.
왼쪽 Alt + Shift 로 변환 하면 한글 사용은 가능하다.

- 수동 해결 방법

1. 제어판 - 국가 및 언어 옵션 - 언어 탭 - 자세히 클릭 후 밑에 그림과 같이 중국어 키보드 제거!!

2. 시작 - 실행 - regedit 실행 후 

"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layouts\E0200804" 레지스트리 삭제

* 레지스트리를 지울 때 주의!!

예전 해당 레지스트리값이 정상적인 프로그램에서 사용 된 적이 있었음

따라서 ime File의 값이 DADSS.LOG 또는 ShIyOnG.log 인지 확인이 필요함

"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls" 로 이동 후

"AppSecDll" = "C:\WINDOWS\system32\DadSS.log" 삭제

이외에도 ARP 스푸핑, 에드웨어, 스파이웨어 등이 같이 설치 되니 사용하는 백신을 항상 최신으로 유지하고 실시간감시를 켜두는것이 좋다.