crypt2.dll 때문에 터미널 또는 로컬 접근이 불능할때가 나타납니다.
해당 악성코드는 2011년 초쯤에 나타난 악성코드로 Winlogon 프로세서에 inject 되어 있어 로그인등의 영향을 미쳐 로컬에서도 로그인되지 않습니다.
* 해결 방법으로는 [안전모드]로 로그인하여 다음의 래지스트키를 삭제 진행하면 됩니다.
해당파일이 생기는 이유는 사용자 게정 정보를 탈취 하는 키로그 형태의 공격으로 인한 사항으로 알려져있습니다.
파일 이외에 다음의 경로에서 공격에 필요한 파일들을 확인할 수 있습니다.
C:\WINDOWS\system32\faxmode.inc (경로는 서버마다 다를수 있습니다.)
faxmode.inc 파일의 경우 해당 파일을 열면, 현 서버에서 사용하는 관리자 계정과 패스워드을 갈추하여 문서에 나타난다고 하는데 제가 체크할때는 확인되지 않아 확인시켜드리지는 못합니다.
악성 코드중 아래와 같은 파일들이 추가적으로 확인된다고 합니다.
faxmode.inc, ginastub.dll, crypt2.dll
** 키로그
-> 키보드를 이용해서 값등을 서버에 입력할때, 해당 값들을 중간에 가로채서 값을 저장해놓은 것입니다.
서버에서 로그 값등이 발견되지 않았던 이유는 아마도 키로그 해킹을 위한 툴은 설치되었으나, 서버에 로그인을 하기전에
툴을 삭제해버려서 로그가 안남을것으로 예상됩니다.
(로그인을 할수 있는 창이 뜨지 않고, [시스템 재시작]이 간단한 설명과 과 나타나기 때문에 로그인 시도 조차 못했지요.
그후 안전 모드로 작업 진행.....)
아래는 키로그에 대해 잘 서술한 블러그입니다. 참고하시길...
http://kinesis.tistory.com/2
Rss Feed