Runtime Error 204 문제. 요즘 새로 생긴 트로이목마

Runtime error 204 문제

이 트로이목마는 특정 온라인 게임의 ID와 비밀번호를 훔치려고 만든 프로그램입니다.

그러나 인터넷을 이용할 때 키보드를 사용했다면 이미 해킹범에게 ID와 암호가 해킹범 이메일로 전송되었을 가능성이 높습니다.

주요 감염 경로

- 모 블로그를 켜면 미리 삽입된 vbscript가 작동되어 시스템에 트로이목마가 깔린다.

- 이외에도 감염이 확인된 사이트는 여러 개가 된다.

증상

감염이 되면 C:\Documents and Settings\All Users\Favorites\hfdf.hlp 파일이 실행 프로그램에 강제로 상주된다. 이 파일은 각종 자료를 수집하며 특히 게임을 할 때 아이디와 암호를 입력할 때 키 입력을 한 값을 가로채서 이메일로 전송한다. 확실한 증상은 Internet Explorer를 이용하다가 갑자기 Runtime Error 가 뜨는 현상이다. 이것은 사용자의 아이디와 암호를 특정 이메일 주소로 보낼 때 생기는 현상이다. 트로이목마는 작업관리자로도 확인이 되지 않으며 시스템이 느려지며 특히 인터넷을 이용하다가 강제로 종료되기도 한다.

감염되면 아래와 같은 문구를 자주 볼 수 있다.

치료방법 (Win XP 기준)

1. 먼저 아래와 같은 경로로 들어갑니다.

(윈도우 설치 파티션)\Documents and Settings\All users\Favorites

2. hfdf.hlp 파일의 이름을 아무렇게 바꿉니다.

3. 임의의 8자리 영문으로 된 Exe 파일을 삭제합니다.

예) LZTBSTRX.EXE)

4. 시작 -> 실행 -> Regedit를 입력하고 확인을 클릭합니다.

5. 레지스트리 편집기가 뜹니다.

다른 건 절대 건들지 말고 왼쪽의 폴더에서 + 모양을 눌러 다음과 같은 경로로 이동합니다.

HKEY_LOCAL_MACHINE\

SOFTWARE\

Microsoft\

Windows\

CurrentVersion\

policies\

Explorer\

Run

6. (기본값)을 제외하고 모든 항목을 차례대로 오른쪽 마우스를 눌러 삭제합니다.

7. 컴퓨터를 다시 시작합니다.

8. 아까 이름을 바꾼 파일이 있죠. 그걸 지우면 끝입니다.

---------------------------------------------------------

참고: 실행파일 이름이 계속 바뀌고 hlp 파일 위장 트로이목마라

현존하는 모든 바이러스 검색기에서 검출이 제대로 안 되고 있습니다.

(오늘자로 V3나 nprotect에서만 검출되지만 치료가 제대로 안 될 수 있습니다)

참고2: 이 트로이목마가 최초로 나온 시간이 11월 20일쯤 됩니다.

혹시 트로이목마에 걸린 상태로 키보드를 사용한 암호를 입력했으면

지금 당장 암호를 바꾸는 것이 좋습니다. 해킹범의 E-Mail에 이미 계정정보가 전송되었기 때문입니다.

참고3: 그림 자료의 출처는: http://temz.tistory.com/8

참고4: 시스템 구성 유틸리티(msconfig)에서도 트로이 목마의 실행파일 이름은 나타나지 않을 수 있습니다.