본문 바로가기

Knowhow/PC

IEHlprObj.IEHlprObj / Trojan-ExploitW32.Agent.32807012 제거


1주일전에 감염 되서 감염된사실을 4일후에 감염여부를 알고 4일만에 제거할 수 있었음. 총 8일걸림

백신을 사용중에 있었으나 백신이 정확히 치료를 하지 못함
수작업으로 삭제하였으나 계속 재 감염됨 2중구조의 바이러스 라서 두개다 삭제하지 않으면 재감염됨

두개 프로세스로 구동
1차 : netsvcs_00 서비스에 의한 재감염 이후 netsvcs_01 서비스로 변경됨 ( Trojan-ExploitW32.Agent.32807012  로 진단됨)
2차 : IEHlprObj.IEHlprObj 에 의한 재감염 ( 여러가지 명칭으로 진단됨 )


제거방법 : 

A. 파일

생성화일의 유무를 판단하기 위하여 temp 디렉토리 전체 삭제... 시스템 파일일경우 삭제 안되는 경우 있음

C~~~~~~~~~~.dll 화일의 이름변경
temp 디렉토리 보안속성 을 모두 거부 (사용자 모두)
재부팅 하고 나면 Temp 디렉토리에 파일기록이 되지 않기때문에 재감염 불가

B. 서비스

netsvcs_00 서비스 중지 및 시작유형 사용안함으로 변경

C. 레지스트리

관련된 키 삭제



1. 파일

windows 디렉토리
서비스 관련파일 

MicrosoftManagementConsole000000000000000000_1.dll


temp 디렉토리
서비스 관련파일 

MicrosoftManagementConsole334.tmp                              file size  31,148KB


IEHlprObj.IEHlprObj 관련 파일

109203_res.tmp    앞에 숫자는 변경됨
C0001d07d0e60a80f7010.dll  앞에 숫자는 변경됨                   file size  62,833KB
C0001d07d0e60a80f7020.dll  앞에 숫자는 변경됨                   file size  62,649KB


2. 서비스

netsvcs_00
netsvcs_01
서비스 명칭뒤가 하나씩 늘어남


3. 레지스트리

서비스삭제키

서비스명으로 레지스트리 검색후 삭제
삭제 안될시 권한 조정후 삭제
Key 삭제 불가시 내용 하나씩 삭제
예 )
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NETSVCS_01]
"NextInstance"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NETSVCS_01\0000]
"Service"="netsvcs_01"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="netsvcs_01"

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\netsvcs_01]
"Type"=dword:00000120
"Start"=dword:00000004
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"DisplayName"="netsvcs_01"
"ObjectName"="LocalSystem"
"Description"="Manages the user-mode driver host processes."
"InstallModule"="C:\\WINDOWS\\system32\\svchost.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\netsvcs_01\Parameters]
"ServiceDll"=hex(2):43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,53,\
  00,5c,00,4d,00,69,00,63,00,72,00,6f,00,73,00,6f,00,66,00,74,00,4d,00,61,00,\
  6e,00,61,00,67,00,65,00,6d,00,65,00,6e,00,74,00,43,00,6f,00,6e,00,73,00,6f,\
  00,6c,00,65,00,30,00,30,00,30,00,30,00,30,00,30,00,30,00,30,00,30,00,30,00,\
  30,00,30,00,30,00,30,00,30,00,30,00,30,00,30,00,5f,00,31,00,2e,00,64,00,6c,\
  00,6c,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\netsvcs_01\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
  05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
  00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
  00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\netsvcs_01\Enum]
"0"="Root\\LEGACY_NETSVCS_01\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

 IEHlprObj.IEHlprObj  삭제키

Class ID 는 감염이 발견됬다고 판단시 수시로 변경됨 따라서
IEHlprObj.IEHlprObj 의 오브젝트를 파악후
Class ID 기준으로 삭제

아래 화일같이 .reg 화일을 구성후 병합시키면 빠름  (재감염에 의한 삭제가 빈번했음 )

Windows Registry Editor Version 5.00
[-HKEY_CLASSES_ROOT\CLSID\{B2375B19-99B2-4fee-9D46-4604B49AB2B4}]
[-HKEY_CLASSES_ROOT\IEHlprObj.IEHlprObj.1]
[-HKEY_CLASSES_ROOT\IEHlprObj.IEHlprObj]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B2375B19-99B2-4fee-9D46-4604B49AB2B4}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj.1]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]

감염 테스트중 만들었던 batch 파일   (필자는 TEMP 디렉토리가 Z:\TEMP 임 : 보통 C:\windows\temp )
레지스트리 의 내용은 Class키가 변경될것임

bad.bat

z:
cd \
attrib -h Z:\temp\*.dll
move Z:\temp\c*.dll Z:\bad
attrib -h Z:\temp\*_res.tmp
copy Z:\temp\*_res.tmp Z:\bad
regedit /s bad.reg
explorer Z:\Temp

bad.reg 

Windows Registry Editor Version 5.00
[-HKEY_CLASSES_ROOT\CLSID\{B2375B19-99B2-4fee-9D46-4604B49AB2B4}]
[-HKEY_CLASSES_ROOT\IEHlprObj.IEHlprObj.1]
[-HKEY_CLASSES_ROOT\IEHlprObj.IEHlprObj]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B2375B19-99B2-4fee-9D46-4604B49AB2B4}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj.1]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]