[바이러스] 2009/02/20 바이러스 정밀검사 Error_Virus_Spam

대략적인 기본검사후, 혹시나 해서 정밀검사를 수행해보았다.
웁스... 그런데, 기본검사에서 체크되지 않았던 몇개의 바이러스(?)가 검출되었다.
그런데, 웬지 의심스러운.
과연 바이러스가 맞는 것인지 알 수 없다.
프로그래밍을 위해 굉장히 여러종류의 프로그램을 깔았거나 지웠고, 여전히 많은 프로그램이 깔려 있는데,
우선 검출된 것은 sqlservt.exe 와 klif.sys 였다.
웬지 바이러스가 아닌것까지 검출된게 아닌가 하는 의심과, 늦은시각, 언제 끝날지 모르는 바이러스 검색을 위해 컴퓨터를 켜놓을 수는 없었기에 일단 종료시켰다.

sqlservt.exe 관련 정보들을 검색해 보았다.
걱정스러운 것은, 이걸 지워도 되는건지 모르겠다는 거다.
ODBC 폴더라면, 분명 데이터베이스 연결과 관련된 프로그램일 가능성이 높은데..
의아스러운 것은 프로그램들 중 sqlstarter.exe 라는 파일은 델파이7 의 아이콘을 보인다는 점이다.
sqlstarter.exe 파일과 sqlupdate.exe 파일이 숨김파일로 처리되어 있는게... 웬지 의심스럽긴 하지만,
웬지 델파이 프로그램에서 쓰고 있을것 같은 이상한 느낌.
그러나, 현재 설치된 델파이 버전이 7 버전도 아닌데다가, ODBC 부분에 굳이 이런 파일들이 있어야할 이유가 없을 것 같기에,
우선, 이 파일들을 압축으로 묶어서 보관해둔뒤, 지워버려야겠다.




그 다음으로, klif.sys 관련 정보를 검색해 보았다.
그런데, 지워도 되는건지, 지우면 안되는건지... 도무지 알수없다.

-----------------------------------------------------------------------------
http://blog.naver.com/xter22?Redirect=Log&logNo=90034140713

klif.sys 0x0000007e 파란화면 에러 복구관련 
2008/08/16 12:44

 http://blog.naver.com/xter22/90034140713
이 포스트를 보낸곳 ()

 
네이버에서 제공하는 pc그린 카스퍼스키 파일에 문제가 있어서입니다...

방법은 안전모드로 부팅이 된다면 pc그린을 지워 주세요...

부팅이 전혀 않된다면 부팅이 되는 시디나 usb로 부팅해서

c:\windows\system32\drivers에 있는 klif.sys 파일을 삭제해 주시면 됩니다...

winpe로 부팅하면 ntfs도 수정이 가능합니다...

 
[출처] klif.sys 0x0000007e 파란화면 에러|작성자 컴프렌드


-----------------------------------------------------------------------------
http://moonslab.com/494

카스퍼스키 안티바이러스, klif.sys 후킹 함수 서비스 거부 공격 취약점 발견돼.

전세계적으로 호평받고 있는 카스퍼스키 안티바이러스 제품에 보안 취약점이 발견되어 주의가 요망된다.

이 취약점은 카스퍼스키 안티바이러스 6.x와 7.x 그리고 인터넷 시큐리티 6.x와 7.x 등 가장 핵심적인 제품에서 발생한다.
7.0.125 버전에서 맨 처음 발견되었으며 다른 버전에서도 동일하게 나타날 것이다.

이 취약점을 통해 공격자는 로컬 컴퓨터에서 서비스 거부(Denial of Service) 공격을 수행할 수 있다.

원인은 특정한 후킹 함수의 매개변수를 처리할 때 KLIF.SYS g함수내에서 오류가 발생하기 때문으로
"NtCreateSection(), NtUserSendInput(), LoadLibraryA() 함수를 호출할 때와 특별하게 조작된 매개변수를 가진 SSDT 엔트리에서 발생한다고 한다.

해결방법은 아직 없으며, 11월달의 업데이트를 통해 처리될 것으로 알려 졌다.

관련 정보
카스퍼스키: http://www.kaspersky.com/technews?id=203038706
루트킷닷컴: http://www.rootkit.com/newsread.php?newsid=778

---------------------------------------------------------------------------
http://blog.naver.com/hodolry?Redirect=Log&logNo=58489191

알약이나 네이버 피시그린으로 인해 블루스크린 오류가 뜨는 경우를 발견하였습니다.
[출처] 알약이나 네이버 피시그린으로 인해 블루스크린 오류가 뜨는 경우를 발견하였습니다.|작성자 hodolry

 
2008/12/12 15:28

 http://blog.naver.com/hodolry/58489191
이 포스트를 보낸곳 ()

 
증상))

블루스크린 오류시 klif.sys파일이 연관된 경우(특히, 컴퓨터에 해당하는 파일이 없는데도 같은 오류 반복)

오류 후 컴퓨터 재부팅시 알약 프로그램에서 '파일이 수정되었습니다. 재시작 해주시기 바랍니다'란 오류메세지가 뜰 경우

 

 

아마 이 글을 보시는 분들은 네이버 검색을 통해 제 블로그를 들어오셨을줄로 압니다.

이 글은 정확한 정보를 담고있는 글은 아니므로 참고사항으로만 봐주시기 바랍니다.

특히 두 백신 프로그램에 이상이 없음에도 제가 과도한 추측을 하는것일 수도 있을것입니다.

 

특히나 이 블루스크린 오류는 USB와도 관련되어 있을 수 있으며 무선공유기를 사용하시는 분께선 더더욱이 의심을 해보셔야 합니다.

아마 추측하기로는 USB와 카스퍼스키 엔진을 사용하는 알약 또는 네이버피시그린 프로그램이 램과 충돌하여 일어나는 블루스크린이 아닌가 추측되는데, 단지 제 개인적인 소견임을 말씀드립니다.

 

최근들어 자꾸 블루스크린 오류가 뜨길래 여러 프로그램들을 수정해보고 시스템을 복원하는 과정에서 오류의 원인을 최대한 줄여 위와같은 사항을 발견한 것입니다.

특히나 블루스크린 오류시 klif.sys 파일이 문제가 됨을 볼 수 있는데, 이 파일은 카스퍼스키 엔진을 사용하는 백신, 실시간 감시 프로그램에 의한 파일입니다. 즉 알약과 네이버 피시그린이죠.

네이버 툴바의 치료기능과 데스크탑의 치료기능 또한 카스퍼스키 엔진이 기반이 되어있지만, 실시간 감시기능이 아닌 사용자의 명령에 따라 실행될 뿐이므로 이는 가능성에서 배제하였습니다.

 

혹시나 블루스크린 오류에 위 klif.sys파일이 관련되어있거나, 알약 피시그린이 의심되시는 분들은 어베스트나 하우리 등 타 무료 백신프로그램을 사용하실것을 권장해드립니다.

 

또한, 시스템 복원을 통해 오류가 나지 않았던 시점으로 복원하셔야 하고, 기존의 백신프로그램은 완전히 삭제하셔야 합니다.

그리고 klif.sys파일이 없는데도 klif.sys파일에 의한 블루스크린이 뜨시는 분께선 이 파일이 살아남는 지점까지 복원하셔야 할 듯 합니다.

저도 컴퓨터 전문가가 아니고 단지 아마추어라 정확한 사항은 모르며 위 내용이 적용되지 않을 수도 있습니다.
[출처] 알약이나 네이버 피시그린으로 인해 블루스크린 오류가 뜨는 경우를 발견하였습니다.|작성자 hodolry


 


덧글

  • SqlStarter 2010/02/20 13:13 # 삭제 답글

    아니? 헉.. 이놈이 메일을,, 단시간에 대량으로 발송하는군요 이거 단순삭제? 음 일단은 저장..
  • fendee 2010/02/20 21:42 #

    바이러스로 의심되신다면, 우선 압축으로 묶어서 별도로 백업해두신후, 발견된 바이러스 이름을 웹에서 검색해보시고, 바이러스라고 얘기하는 글이 있다면 읽어보신후 지우시는 것이 좋을듯 합니다.
  • 아니? 헉.. 2010/02/20 13:32 # 삭제 답글

    sqlservt.exe

    단시간 대량 메일발송과 관련 없음?
  • fendee 2010/02/20 21:45 #

    트로이안 이라면, 이름 만으로 보았을때 대량 메일발송쪽은 아닐듯 합니다.
    대량 메일발송이라면, 컴퓨터가 일순간 엄청난 CPU 소모로 인해 정지되는 듯한 증상이 자주 발견될 것입니다. 그렇다면, 대량 메일발송 같은 역할을 할 가능성이 있다고 보여지지만, 그런 경우가 아니라면 그런 바이러스가 아닐 확률이 높지 않을까요?
  • 메일이 발송되기 전 2010/03/20 17:07 # 삭제

    에 백신프로그램이 메시지를 띄워 사용자로 하여금 선택하도록 ... 그래서 씨퓨의 폭주는 잘 안 일어난다는 얘깁니다만... ㅎㅎ
  • hihihihi 2010/02/21 23:09 # 삭제 답글

    자꾸 v3 실시간 검사에서 sqlupdate.exe랑 SquStarter.exe가 감염됐다고 나오는데 어떡하죠?? 아까 한번 지웠는데 고새 깔렸는지 또 그러네요..지워야 하는건가요 아닌건가요 ㅠ
  • fendee 2010/02/21 23:51 #

    위에서도 답글을 달았듯이, 한번 지웠는데 리부팅후 별 문제가 없었다면 다시 지워도 상관은 없을것으로 보여집니다. 그러나, 문제는 지웠는데 리부팅후 다시 생겼다는 것이죠.
    그러나, 일부 프로그램에서 사용하는 프로그램일 가능성도 있습니다.
    V3, 알약, 카스퍼스키 등 다양한 백신프로그램으로 시도를 해보십시오.
    msconfig 나 regedit 를 실행시켜서, 윈도우 시작시 이를 실행하는지도 체크해 보시기 바랍니다.
    기타, 정밀 검사를 통해서(시간이 오래걸림) 좀더 확실하게 치료를 시도해 보시는게 좋을듯 하네요.
    지웠는데, 다시 감염(?)이 발생한다면.. 댓글만으로는 해결책을 제시해 드리기 힘들듯 합니다.
댓글 입력 영역
* 비로그인 덧글의 IP 전체보기를 설정한 이글루입니다.

크리에이티브 커먼즈 라이선스 이 저작물은 크리에이티브 커먼즈 저작자표시-비영리-동일조건변경허락 2.0 country.kr 라이선스
따라 이용할 수 있습니다.

통계 위젯 (화이트)

13154955
28292
5665845

google_myblogSearch_side

▷검색어

Flag Counter style2