카스퍼스키 관련 - Password-protected-EXE / uld.dll

작성자 : 진샘나미

원문 : http://cafe.naver.com/fprot/24988

발견 안됨: 바이러스 Password-protected-EXE (변종) 파일: C:\WINDOWS\Temp\npcopyv.exe.npz/npcopyv.exe

발견 안됨: 바이러스 Password-protected-EXE (변종) 파일: C:\WINDOWS\Temp\npkcmsvc.exe.npz/npkcmsvc.exe
발견 안됨: 바이러스 Password-protected-EXE (변종) 파일: C:\WINDOWS\Temp\npnv3uninst.exe.npz/npnv3uninst.exe

탐지: 바이러스 Password-protected-EXE (변종) URL: http://update.nprotect.net/ebiz_up/app/npnv45/npnuninst.exe.npz/npnuninst.exe
탐지: 바이러스 Password-protected-EXE (변종) 파일: C:\WINDOWS\Temp\npnuninst.exe.npz/npnuninst.exe   삭제용
탐지: 리스크웨어 Hidden install 실행 중인 프로세스: C:\Documents and Settings\XCLAMP\NPInstaller.exe  설치용

---> 엔프로덱트 키보드보안 (압호화 압축으로 자신을 보호하고 있어 진단된 경우)

보안제품 사용자라면 최소한 알아야 할 진단명 설명

http://fantasy-actuality.tistory.com/20

---> 2-3>  password-protected-EXE  항목 참조

-----------------------------------------------------------------------------

탐지: 트로이목마 Trojan-Downloader.Win32.Small.biv URL  http://www.myhangeul.com/p??lug-in/uIDme.cab/uID.dll

삭제: 트로이 목마 Trojan-Downloader.Win32.Small.biv 파일

: C:\Documents and Settings\XCLAMP\Local Settings\Temporary Internet Files\Content.IE5\AJKV26SD\ulDme[1].cab/uld.dll

----> 한글 주소 도우미를 진단 한경우로   바이러스가 아닌 애드웨어 입니다.. 검색툴바..
----> 최근들어 Active X 로 지원되는 국내 서비스를 다 Trojan으로 진단하고 있습니다.
        그러나 애드웨어 ..
----> 이경우 문제는 삭제하셔도 되지만 설치되려는 것을 삭제할 경우 차단하는 역활을
         함으로 컴에 문제 발생이 되지 않습니다.
----> 단 이미 해당 툴바가 설치된 상태에서 수동검사로 진단된 경우 일부 모듈만
         삭제될 경우 문제가 발생될 수 있습니다.
----> 참고 링크 : http://blog.naver.com/xcoolcat7/30020809193

-------------------------------------------------------------------------------

탐지: 리스크웨어 Hidden data sending 실행 중인 프로세스: C:\Program Files\NATEON\BIN\NateOnMain.exe
탐지: 리스크웨어 Invader 실행 중인 프로세스: C:\Program Files\Gravity\RagII_CBT3\System\RagII.exe
탐지: 리스크웨어 Invader 실행 중인 프로세스: C:\WINDOWS\explorer.exe
탐지: 리스크웨어 Invader 실행 중인 프로세스: C:\WINDOWS\System32\svchost.exe
탐지: 리스크웨어 Invader 실행 중인 프로세스: C:\WINDOWS\system32\winlogon.exe

이 부분은

네이트온 과 라크나로크 온라인 2가 구동시  웹접속하는 것을 의심행동으로 진단하여 
리스크웨어라고 사용자한테 표시해준 것으로 바이러스라고 진단 한 것이 아니므로 
진단예외 지정하셔도 될 듯합니다..

단, 라크나로크 클라이언트 설치파일과 네이트온 설치파일을 제작사에서 다운로드 받아
설치하신 것이 맞다면 말입니다.

--------------------------------------------------------------------------------

탐지: 트로이목마 Trojan-Downloader.JS.Agent.eb URL: http://www.vird??wn.com/Help2.htm
탐지: 악성프로그램 Exploit.Win32.IMG-ANI.gen (변종) URL: http://www.vir??own.com/help.bmp

이것은 해킹되어 악성파일을 유포하는 사이트에 방문시 진단 한 것으로

이미 차단된 내역입니다.

보안사에 정확한 확인이 필요하여 문의가 필요한 부분

--------------------------------------------------------------------------------

탐지: 리스크웨어 Invader 실행 중인 프로세스
: C:\Documents and Settings\XCLAMP\바탕 화면\-6449\d2maphack.exe
탐지: 리스크웨어 Invader 실행 중인 프로세스
: C:\Documents and Settings\XCLAMP\바탕 화면\C3PO_V222\C3PO.exe
삭제: 트로이목마 Trojan-Clicker.Win32.Agent.jl 파일: C:\WINDOWS\Installer\3ea743.msi//Acad162_icon.exe
삭제: 트로이목마 Trojan-Clicker.Win32.Agent.jl 파일: C:\WINDOWS\Installer\{5783F2D7-5001-0412-0002-0060B0CE6BBA}\Acad162_icon.exe
삭제: 트로이목마 Trojan-Clicker.Win32.Agent.jl 파일: D:\downloads\AutoCAD2007_Kor\Bin\acadFeui\acad.msi//Acad162_icon.exe
삭 제: 트로이목마 Trojan-Clicker.Win32.Agent.jl 파일: C:\System Volume Information\_restore{1379CAF7-6E53-46E4-BF76-014C00A0EDDF}\RP480\A0053876.exe
삭 제: 트로이목마 Trojan-Clicker.Win32.Agent.jl 파일: C:\System Volume Information\_restore{1379CAF7-6E53-46E4-BF76-014C00A0EDDF}\RP480\A0053875.msi//Acad162_icon.exe
발 견 안됨: 트로이목마 Trojan-Clicker.Win32.Agent.jl 파일: D:\System Volume Information\_restore{1379CAF7-6E53-46E4-BF76-014C00A0EDDF}\RP480\A0053877.msi//Acad162_icon.exe
탐지: 리스크웨어 Invader 실행 중인 프로세스: C:\Documents and Settings\XCLAMP\Local Settings\Temp\_is3.exe

----> 이 부분은 혹시  AutoCAD2007_Kor 를 P2P 에서 받아 사용중이신 것으로 판단됩니다.

받으신 파일중 ...  다른용도의 프로그램도 사용자 몰래 같이 다운로드된 것으로 보이며.

진단내역으로 보아선..  정품인증프로그램을 별도로 구동시켜 크랙으로 사용중이신 것으로 보입니다.

또는 영문판 AutoCAD2007을 한글화 하는 패치를 사용중이시거나 ..

한글패치파일중 악성파일이 포함되어 있는 것으로 보입니다..

보안사에 정확한 확인이 필요하여 문의가 필요한 부분

--------------------------------------------------------------------------------