'PackedCatalogItem'에 해당되는 글 1건

  1. 2010.09.01 [Tip] 악성코드 진단 삭제 후 인터넷이 안되는 증상

가끔 백신으로 악성코드를 진단하고 삭제한 후에 인터넷이 안되는 증상이 나타날 경우가 있습니다.
인터넷이 안될 경우 아래와 같은 원인을 의심해 볼 수 있습니다.

특정 악성 코드의 경우 자동 실행을 위해 아래와 Winsock 라이브러리 경로를 악성코드 자신으로 수정하여 인터넷 접속을 위한 라이브러리 호출시 자신을 호출 되도록 수정합니다.
   
                                                                        < 정상적인 레지스트리 >

※ 레지스트리 경로
HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\00000000\PackedCatalogItem


위의 경로에 특정 DLL 설정시 인터넷 접속시 마다 자동 실행되게 됩니다.
따라서 악성코드가 해당 레지스트리를 수정 후 진단 및 삭제된 후 레지스트리의 값은 그대로라면 해당 라이브러리가 없으므로 인터넷이 안되는 것은 당연할 것입니다.

아래는 해당 레지스트리를 수정하는 악성코드의 일부 입니다.

해결을 위해서는 해당 레지스트리 값을 <정상적인 레지스트리 >와 같은 값으로 수정해 주어야 합니다.

                                                                                                   +---------------------------------+
                                                                                                    | Infinite Flow..                              |

                                                                                                    | mail : geekspark@gmail.com         |
                                                                                                    | Blog : http://sinun.tistory.com       |
                                                                                                    | twitter : @unpacker                      |
                                                                                                    | CISSP                                        |
                                                                                                    +----------------------------------+
저작자 표시 비영리 변경 금지
신고
Posted by By. PHR34K