| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |
- malware
- NumPy Unicode Error
- TensorFlow
- error
- x64
- pytest
- open office xml
- svn update
- idb2pat
- data distribution
- Python
- Injection
- ida pro
- 포인터 매핑
- ida
- Rat
- Analysis
- mock.patch
- ecma
- MySQL
- hex-rays
- javascript
- why error
- Ransomware
- commandline
- idapro
- idapython
- debugging
- error fix
- h5py.File
- Today
- Total
13 Security Lab
malicious domain 208.73.210.29 에 대한 분석 본문
학내 정보보안팀에서 관제를 보던 중 심상치 않은 것을 발견 했다. 학내 pc들에서 한 아이피로 패킷이 나가는 것을 확인 할 수 있었다.
처음에는 단순히 오탐 또는 치료조치로 금방 처리 가능할 것으로 생각 했으나, 지켜보고 조치 한 결과 이미 다수의 pc에서 감염된 것으로
예상 되었는데, 그 이유는 날마다 탐지되는 source ip가 바뀌었기 때문이었다. 탐지가 되었을때 해당 pc 사용자에게 연락을 하고
백신 검사와 OS업데이트를 요청하였으나 다음에 다시 탐지되어 연락 했을때, 그것이 소용이 없음을 확인하였다.
백신의 종류에 따라서 탐지되는지는 확실히지 않으나, 아무튼 조치가 어려움을 확인하였고, 이에 원격접속으로 해당 pc들을 살펴보았으나,
무엇이 원인인지 파악하지 못하였다.
그러던중 웹에서 같은 내용의 208.73.210.29로 나가는 pc에 대한 치료 방법이 올라와있는 것을 확인하였다.
원문 Tee Support Blog :
http://blog.teesupport.com/208-73-210-29-attacked-computer-remove-infections-from-domain-208-73-210-29/
아래 원문에 대한 번역 정리하였다.
208.73.210.29 Attacked Computer - Remove Infections From Domain 208.73.210.29
-208.73.210.29 Description
208.73.210.29는 여러가지 방법으로 당신의 컴퓨터를 공격하기위해 만든 악의적인 도메인이다.
208.73.210.29는 당신의 컴퓨터에 트로잔과 함께 접속해서 유용한 정보를 훔치려고 시도한다.
일단 208.73.210.29는 당신의 취약점을 이용하고, 감염되어있어 당신의 컴퓨터 성능은 매우 떨어졌을것이다.
그 증상은 느린 컴퓨터 속도와 끊임없는 시스템 팝업을 포함한다. 가끔 컴퓨터가 다운되거나 블루스크린이 떠버릴것이다.
만약 낯선 제3자가 당신의 컴퓨터를 원격 접속 또는 컨트롤 하길 원치 않는다면, 당장 그것에 대한 치료방법을 찾아서 치료해야 할 것이다.
-Why I cannot remove 208.73.210.29 viruses completely with my security software?
208.73.210.29 바이러스의 유포자는 레지스트리 보안 소프트웨어를 많이 다루어 본것으로 보인다. 208.73.210.29 virus infections는 감시로부터
빠져나갈 것을 만들어 놓았다. 따라서 당신의 컴퓨터에 백신이 깔려있음에도 이 바이러스에 감염된것을 놀랄 것은 없다.
그렇다면 보안 소프트웨어 도움없이 어떻게 제거할 수 있을까? 당신은 직접 그 감염된 바이러스를 컴퓨터 밖으로 끌어내버릴 수 있다.
-208.73.210.29 step-by-step Manual Removal Instructions:
step one - 컴퓨터 안전모드 부팅
이것을 수행하기위해서 컴퓨터를 재부팅하고 -> 윈도우가 실행되기전에 F8을 연타하고 -> Safe Mode with Networking으로 부팅합니다.
step two - Internet Explorer 리셋
IE를 열고-> [도구]-[인터넷 옵션]-[고급]에서 리셋옵션을 선택해줍니다.
step three - 시작프로그램에서 208.73.210.29 으로부터 감염된것 제외시키기
XP : 시작->실행-> msconfig을 입력후 엔터-> 시작프로그램 중에 208.73.210.29 으로부터 실행되는것을 제외시킵니다.
Win Vistar or Win7 : 시작- 검색바에 msconfig -위와마찬가지로 208.73.210.29 로부터 실행되는것 제외
step four - 작업관리자를 열어 트로잔과 바이러스 중지시키기
감염된 파일은 랜덤이름이나 시스템프로세스이름으로 속여 사용하므로, 작업관리자에서 윈도우 시스템 프로세스가 아니거나 프로세스이름이
맞지만 시스템위치가 틀리거나 하는 것들이 있나 잘 체크해야 합니다.
step five - 의심되는 시스템파일 제거
step six - 시작메뉴에서 regedit을 입력하여 레지스트리 에디터를 연다음 다음의 레지스트리 위치의 의심되는
레지스트리 목록들을 확인합니다.
read more how to delete 208.73.210.29 infections registry entries
: http://blog.teesupport.com/how-to-remove-registry-entries-malicious-registry-entries-removal-instructions/
