Malware Zero

Web : malzero.xyz
Virus Zero Season 2 : cafe.naver.com/malzero
Batch Script : ViOLeT (archguru)

https://malzero.xyz
https://cafe.naver.com/malzero/94376

경고 ! 타 사이트/카페/블로그/토렌트 등에서 배포/개작 및 상업적 이용 절대 금지 ! (발견 시 신고 요망)

- - - - - - - - - - - - - - - - - - - - -

■ 문제 01. Malware Zero 스크립트는 어떻게 실행해야 하나요?

   동봉되어 있는 <6. 사용 방법> 문서 참고

- - - - - - - - - - - - - - - - - - - - -

■ 문제 02. 스크립트 실행 시 오류가 발생합니다. (또는 스크립트 초기화 상태 지속)

   A. 필수 파일이 존재하지 않거나 압축된 상태로 실행

      압축을 정상적으로 해제 후 실행하시거나 압축 해제 후에도 문제가 발생하면 파일을 새로 내려받아 사용

      ※ 문제가 지속될 경우, 생성되는 폴더의 권한을 탈취해 실행을 방해하는 악성코드에 감염된 상태일 수 있으므로 안전 모드(네트워킹 사용) 환경에서 다른 폴더 위치에 압축을 풀고 검사 진행

   B. 레지스트리 편집 권한 없음

      악성코드에 의하여 레지스트리 편집 권한이 막혀있는 경우, 동봉된 unhookexec.inf 파일을 선택 후 마우스 오른쪽 클릭 → 설치

      ※ 단, 공용 및 사내 PC 등 특별한 보안 규칙에 의해 편집 권한이 막혀있는 경우 해결되지 않을 수 있음

   C. 데이터베이스 파일 구성이 일치하지 않음 (또는 실행 파일 변조)

      기존에 사용한 스크립트 파일 및 폴더 전체 삭제 후 압축 해제 및 실행 또는 동봉된 unlock.reg 파일을 등록 후 실행

      ※ 문제가 지속될 경우, 실행 파일을 감염시키는 Virut 또는 Parite 등의 악성코드에 의한 감염 증상일 수 있으므로 사전 보안 제품(백신)을 이용하여 정밀 검사 수행 (진단된 파일 삭제 금지)

   D. Oops, Unsupported Korean Language !

      Control Panel → Region and Language → Administrative → Language for non-Unicode programs → Change system locale → Korean (Korea)

   X. 스크립트 초기화 시간이 너무 오래 걸리는 경우 (10분 이상)

      보안 제품의 실시간 감시 기능 비활성화 후 검사 또는 안전 모드로 부팅 후 검사 진행

- - - - - - - - - - - - - - - - - - - - -

■ 문제 03. 스크립트 실행 시 갑자기 종료되거나 특정 시점에서 장시간 멈추는 등 동작이 제대로 이루어지지 않습니다.

   동봉된 unlock.reg 레지스트리를 실행/등록 후 실행, 이후 동일한 현상이 발생하는 경우 아래의 전용 백신을 1회 사용하여 악성코드 치료 후 재부팅

   ○ Kaspersky TDSSKiller          : http://media.kaspersky.com/utilities/VirusUtilities/EN/tdsskiller.exe
   ○ AhnLab V3 OnlineGameHack Kill : http://download.ahnlab.com/vaccine/gamehackkill.exe

   ※ '지정된 파일을 찾을 수 없습니다.' 메시지가 표시된 후 종료되면 Cidox 부트킷에 감염된 상태일 수 있으므로 Kaspersky TDSSKiller 도구 사용 권장

- - - - - - - - - - - - - - - - - - - - -

■ 문제 04. 악성 프로그램 또는 악성코드가 발견은 되었으나 제거되지 않았습니다. 어떻게 해야 하나요?

   악성 항목에 대한 제거가 실패했을 경우, 컴퓨터를 재부팅 또는 안전 모드로 부팅(권장) 후 다시 한 번 검사 시도

   이후에도 제거에 실패하면 보안 제품(백신) 및 전용 백신 또는 강제 삭제 유틸리티를 사용하여 제거 진행

   ※ 제거되지 않는 레지스트리 값의 경우, 레지스트리 편집기(REGEDIT)를 사용하여 수동 제거

      일반적인 상태에서 레지스트리 편집기(REGEDIT)를 통한 수동 제거가 불가능할 경우 아래 프로그램을 내려받아 압축 해제

      ○ PsExec : https://technet.microsoft.com/ko-kr/bb897553

      명령 프롬프트(관리자 권한)를 실행하여 폴더 이동 후 아래 명령을 수행하여 레지스트리 편집기(REGEDIT) 실행 후 값 제거 시도
      (제거 대상 키 사용 권한 설정에서 Everyone 계정 추가 후 모든 권한에 허용 체크 후 제거)

      PsExec -i -d -s regedit.exe

- - - - - - - - - - - - - - - - - - - - -

■ 문제 05. 진단 및 삭제된 파일 및 폴더, 레지스트리가 정상 데이터입니다. 복원이 가능한가요?

   검역소 폴더(기본: C:\Quarantine_MZK)에서 복원 가능

   파일 및 폴더는 원본 파일명 뒤에 붙은 날짜와 vz 확장자 제거 후, 리포트 파일을 참고하여 원래의 폴더에 복사 (파일 이동 비권장)
   레지스트리는 생성된 reg 확장자의 파일 내용을 확인하여 정상일 경우 실행 후 등록

   검역소 내 폴더 중 Files 폴더는 파일, Folders 폴더는 폴더, Registrys 폴더는 레지스트리 파일이 존재

   ※ 오진 발생 시, mzkhelp@gmail.com 전자우편주소로 검사 리포트 파일을 첨부하여 신고

- - - - - - - - - - - - - - - - - - - - -

■ 문제 06. 안전 모드로 부팅하는 방법을 모르겠습니다. 어떻게 해야 하나요?

   [ Windows Vista, 7 ]
   초기 Windows 부팅 화면이 나오기 바로 전 잠깐의 검은 화면 상태에서 F8 키를 누르면 나오는 고급 부팅 화면에서 선택

   [ Windows 8 ]
   설정(단축: 윈도우 + I 키) → PC 설정 변경 → 업데이트 및 복구 → 복구 → 고급 시작 옵션 → 다시 시작 → 문제 해결 → 고급 옵션 → 시작 설정 → 다시 시작 → 고급 부팅 화면에서 선택

   [ Windows 10 ]
   설정(단축: 윈도우 + I 키) → 업데이트 및 복구 → 복구 → 고급 시작 옵션 → 다시 시작 → 문제 해결 → 고급 옵션 → 시작 설정 → 다시 시작 → 고급 부팅 화면에서 선택

- - - - - - - - - - - - - - - - - - - - -

■ 문제 07. 검사를 모두 완료한 후에 인터넷에 연결되지 않습니다. (재부팅 후에도 연결되지 않을 경우)

   악성코드에 의해 시스템 파일(특히 WSHTCPIP.DLL) 및 WINSOCK, TCP/IP, DHCP 서비스 또는 DNS 값 등이 변조 또는 손상된 경우 발생 가능하며, 아래의 절차를 수행하여 네트워크 환경 복구

   ※ 변조된 시스템 파일이 복구되지 않아 증상이 발생할 경우 표준 환경으로 부팅하여 Windows 설치 미디어(CD/DVD) 삽입 후, 명령 프롬프트(CMD)를 관리자 권한으로 실행하신 다음 SFC /SCANNOW 명령어를 실행, 또는 <문제 12> 참고

   ※ 간혹 네트워크 어댑터가 딥 슬립(Deep Slip) 모드로 변경되어 연결이 불가능해질 수 있으며, 이 경우 장치 관리자에서 사용 중인 네트워크 어댑터 설정 중 '전원 관리' → '전원을 절약하기 위해 컴퓨터가 이 장치를 끌 수 있음' 항목을 해제해야 함

   1) 아래 절차에 따라 'DNS' 설정을 확인 및 변경

      A. '제어판' → '네트워크 및 인터넷' → '네트워크 및 공유 센터' 실행 (또는 NCPA.CPL 실행)
      B. '활성 네트워크 보기'의 '연결' 항목에서 '로컬(또는 무선) 영역 연결' 클릭 (명칭은 다를 수 있음)
      C. 로컬(또는 무선) 영역 연결 상태 창의 '일반' 탭에서 '속성' 버튼 클릭
      D. 속성 창의 '네트워킹' 탭에서 'Internet Protocol Version 4 (TCP/IPv4)' 항목 선택 후 '속성' 버튼 클릭
      E. 속성 창의 '일반' 탭에서 하단 DNS 설정을 '자동으로 DNS 서버 주소 받기' 또는 '다음 DNS 서버 주소 사용'에 체크

         * '다음 DNS 서버 주소 사용'에 체크 시 입력해야 할 IP
           (통신사 또는 네트워크 환경마다 다를 수 있으며, 전용 DNS 주소를 사용하는 회사의 경우는 전용 DNS 주소 입력)

         KT Olleh     = 기본 DNS : 168.126.63.1,   보조 DNS : 168.126.63.2
         SK Broadband = 기본 DNS : 210.220.163.82, 보조 DNS : 219.250.36.130
         LG U+ #1     = 기본 DNS : 164.124.101.2,  보조 DNS : 203.248.252.2
         LG U+ #2     = 기본 DNS : 164.124.107.9,  보조 DNS : 203.248.252.2
         LG U+ #3     = 기본 DNS : 61.41.153.2,    보조 DNS : 1.214.68.2
         Google       = 기본 DNS : 8.8.8.8,        보조 DNS : 8.8.4.4

      F. '확인' 버튼 클릭 후 인터넷 연결 확인

   2) '제어판' → '네트워크 및 인터넷' → '네트워크 및 공유 센터' 창 하단의 '문제 해결' 기능을 통해 점검 진행

   3) 공유기를 사용할 경우, 공유기 재부팅 또는 리셋 버튼을 누른 후 통신 가능 유무 확인

   4) 위의 항목 수행 후에도 연결되지 않을 경우 아래의 명령어를 순차 실행 후 재부팅

      IPCONFIG /REGISTERDNS
      IPCONFIG /FLUSHDNS
      IPCONFIG /RELEASE
      IPCONFIG /RENEW

   5) 4번 항목 수행 후에도 연결되지 않을 경우 아래의 명령어 실행 후 재부팅

      NETSH WINSOCK RESET

   6) 5번 항목 수행 후에도 연결되지 않을 경우 아래의 명령어를 실행 후 재부팅
      (기존 TCP/IP 설정을 수동으로 설정했을 경우 IP, DNS 및 게이트웨이 설정이 초기화되므로 재설정이 필요할 수 있음)

      NETSH INT IP RESET C:\LOG.TXT

   7) 아래에 나열된 파일을 찾아 선택 후 오른쪽 클릭, '속성'을 실행한 다음에 보안 탭에서 '편집' 버튼 클릭

      Windows → System32 폴더 내 NSISVC.DLL
      Windows → System32 → wbem 폴더 내 WMISVC.DLL

      버튼 클릭 후 SYSTEM, Administrators, Users 그룹의 '읽기 및 실행' 권한이 '허용' 설정이 되어있지 않은지 확인하여 허용되어 있지 않을 경우 '허용'으로 설정

      설정 후 재부팅

   8) 7번 항목 수행 후에도 연결되지 않을 경우, 아래 절차에 따라 랜 카드의 '속도 및 이중' 설정 변경

      A. '제어판' → '네트워크 및 인터넷' → '네트워크 및 공유 센터' 실행
      B. '활성 네트워크 보기' 항목에서 '로컬 영역 연결' 클릭 (명칭은 다를 수 있음)
      C. 로컬 영역 연결 상태 창의 '일반' 탭에서 '속성' 버튼 클릭
      D. 로컬 영역 연결 속성 창의 '네트워킹' 탭에서 '구성' 버튼 클릭
      E. 랜 카드 드라이버 속성 창의 '고급' 탭에서 '속도 및 이중' 항목을 선택 후 값을 <1Gbps 전이중/100Mbps 전이중/10Mbps 전이중> 중 한 가지를 선택 (기본값: 자동 교섭)
      F. '확인' 버튼을 누른 후 재부팅

   ※ 네트워크 어댑터 오동작 및 표시되지 않을 경우 <문제 08> 항목을 참고하여 해결
   ※ 어떠한 방법으로도 연결되지 않을 경우, 랜 카드 드라이버를 재설치 또는 운영체제를 이전 시점으로 복원

- - - - - - - - - - - - - - - - - - - - -

■ 문제 08. '네트워크 및 공유 센터'에서 네트워크 어댑터가 표시되지 않거나 동작하지 않을 경우 조치 방법

   1) 네트워크 어댑터 딥 슬립(Deep Slip) 모드 해제

      A. '제어판' → '장치 관리자' 실행
      B. '네트워크 어댑터' 항목에서 현재 사용 중인 장치 선택 후 오른쪽 버튼 클릭
      C. '속성' 메뉴 클릭
      D. '전원 관리' 탭 클릭
      E. '전원을 절약하기 위해 컴퓨터가 이 장치를 끌 수 있음' 항목 체크 해제
      F. 설정 저장 후 재부팅

   2) 명령 프롬프트(CMD)를 관리자 권한으로 실행하여 아래의 명령어 실행 후 재부팅

      REGSVR32 NETSHELL.DLL
      REGSVR32 NETCFGX.DLL
      REGSVR32 NETMAN.DLL

   3) 문제가 해결되지 않을 경우, 아래 절차에 따라 수동으로 '드라이버 소프트웨어 업데이트' 수행 (문제가 발생한 모든 어댑터에 대해 동일한 방법으로 설정)

      A. '제어판' → '장치 관리자' 실행
      B. '네트워크 어댑터' 항목에서 노란색 느낌표 아이콘이 표시 된 장치 선택 후 오른쪽 버튼 클릭
      C. '드라이버 소프트웨어 업데이트' 메뉴 클릭
      D. '컴퓨터에서 드라이버 소프트웨어 찾아보기' 클릭
      E. '컴퓨터의 장치 드라이버 목록에서 직접 선택' 클릭
      F. 현재 장치와 동일한 명칭의 드라이버 선택 후 '다음' 버튼 클릭
      G. 설정 저장 후 재부팅

- - - - - - - - - - - - - - - - - - - - -

■ 문제 09. 스크립트 실행 시 "관리자가 명령 프롬프트를 사용하지 않도록 설정했습니다." 메시지가 표시됩니다.

   동봉된 unlock.reg 레지스트리를 실행/등록 후 검사 진행

- - - - - - - - - - - - - - - - - - - - -

■ 문제 10. 스크립트 실행 시 "시스템 종류 불일치" 오류가 발생합니다. 어떻게 해야 하나요?

   안전 모드로 부팅 후 검사 진행

- - - - - - - - - - - - - - - - - - - - -

■ 문제 11. 인터넷 익스플로러 브라우저가 응답하지 않는 등 이상 증상이 발생합니다. 어떻게 해야 하나요?

   제어판 → 네트워크 및 인터넷 → 인터넷 옵션 → 고급 탭 → 원래대로 버튼을 통해 브라우저 초기화

   ※ 현재 설치되어 있는 어도비 플래시 플레이어(Adobe Flash Player)의 충돌 문제일 수 있으므로, 플래시 플레이어를 삭제 후 재설치

- - - - - - - - - - - - - - - - - - - - -

■ 문제 12. 필수 시스템 파일이 존재하지 않거나 '확인 필요'로 표시되었습니다. 어떻게 처리해야 하나요?

   1) 필수 시스템 파일이 존재하지 않을 경우 (DLL 파일의 경우만 해당)

      ○ http://www.dlldownloader.com
      ○ https://ko.dll-files.com

      위 사이트 중 한 곳을 방문하여 파일명으로 검색, 자신의 운영체제 및 비트 수에 맞는 버전으로 Windows 폴더 내 System32 또는 SysWOW64 폴더에 복사
      (System32 혹은 SysWOW64 폴더에 대한 경로 확인은 리포트 파일에 기록된 정보 참고)

      ※ 32bit 운영체제 : System32 (32bit)
      ※ 64bit 운영체제 : System32 (64bit), SysWOW64 (32bit)

   2) 필수 시스템 파일이 '확인 필요'로 표시되었을 경우

      운영체제가 업데이트 된 후 변경된 파일일 경우에도 '확인 필요' 진단이 표시될 수 있으므로, 먼저 바이러스 토탈(https://www.virustotal.com) 사이트를 방문하여 해당되는 파일을 올려 검사 진행

      바이러스 토탈 결과가 정상(모든 항목 초록색)으로 확인되는 경우, 스크립트를 당일 내려받아 사용했을 때 확인되었다면 리포트 파일에 기록된 SHA-256 값을 mzkhelp@gmail.com 전자우편주소로 통보
      ※ 스크립트를 당일 내려받아 사용한 상태가 아니라면 스크립트를 새로 내려받아 사용 (자동 업데이트 되지 않음)

      바이러스 토탈 결과가 악성으로 판정되었다면 아래의 A 및 B 항목을 확인

      A. DLL 파일이 악성 파일로 진단(진단 수 8개 이상)되었을 경우에는 바로 위 1)항목 수행 (단, 변조된 파일은 파일명 사전 변경 필요)
      B. EXE 파일이 악성 파일로 진단(Virut 또는 Parite 진단)되었을 경우에는 https://cafe.naver.com/malzero/94118 게시물을 참고하여 치료

- - - - - - - - - - - - - - - - - - - - -

■ 문제 13. 악성코드 치료/제거 후에 컴퓨터가 비정상적으로 느려졌습니다.

   악성코드가 남기고 간 흔적이나 디스크에 논리적인 오류가 발생한 경우에 나타나는 증상일 가능성이 크므로, 아래의 절차를 수행하여 디스크 오류 제거

   1) 명령 프롬프트(CMD)를 관리자 권한으로 실행
   2) CHKDSK 입력 후 실행 (주의! 배드 섹터가 발견되면 이후의 검사는 중지)
   3) 오류가 발견될 경우, CHKDSK /F (더욱 정밀한 검사를 원할 경우 /F 대신 /R 로 변경) 입력 후 실행
   4) '다음에 시스템이 다시 시작할 때 이 볼륨을 검사하도록 하시겠습니까?' 메시지에서 Y 입력 후 엔터
   5) 재부팅 (운영체제 구동 중간에 디스크 검사 수행, 시간 다소 소요)

   ※ 간혹 디스크의 온도가 높아 느려지는 경우가 있으며, 이 경우는 컴퓨터를 종료시킨 후 약 20분 후에 사용

- - - - - - - - - - - - - - - - - - - - -

■ 문제 14. 스크립트 실행 시 "이 파일을 열 수 없음(없습니다)" 오류가 발생합니다. 어떻게 해야 하나요?

   동봉된 unlock.reg 레지스트리를 실행/등록 후 검사 진행

   등록 후에도 실행되지 않을 경우 Windows → System32 폴더 내에 존재하는 CMD.EXE(명령 프롬프트) 파일이 존재하는지 확인 후, 파일이 존재하지 않을 경우 악성코드에 의하여 삭제된 상태로 정상 파일을 복사하여 사용

- - - - - - - - - - - - - - - - - - - - -

■ 문제 15. 기타 발생할 수 있는 여러가지 문제점을 해결하려면?

   ○ Microsoft 지원 센터 : https://support.microsoft.com

- - - - - - - - - - - - - - - - - - - - -

■ 문제 16. 악성코드 감염이 의심되지만 전혀 탐지되지 않습니다. 어떻게 해야 하나요?

   아래에 안내한 게시물을 참고해주시기 바랍니다.

   ○ 진단되지 않는 악성코드/애드웨어 분석 요청하기 : https://cafe.naver.com/malzero/98809

- - - - - - - - - - - - - - - - - - - - -

■ 문제 17. 데이터베이스(DB) 버전이 오래되었다는 경고 메시지가 표시됩니다. 어떻게 해야 하나요?

   기존에 사용하던 스크립트 삭제 후, 아래의 링크를 통해 새로 업데이트 된 스크립트를 내려받아 사용

   ○ Malware Zero : https://malzero.xyz

- - - - - - - - - - - - - - - - - - - - -