제가  해당 웜바이러스의  원본을 입수할수만 있었다면 ,  좀더 자세히 제 생각까지 곁들여서 쓸수 있었을텐데,
입수를 하지못해서 ,  Kaspersky Lab과  MS 보안패치 내용을 종합해서 초반에  제 생각까지 곁들여서 하나로 통일해서 써봅니다.





일단  웜 바이러스의 형태로 ,  Viruslist.com 에 공식 기재된 진단명은,
Net-Worm.Win32.Kido  입니다.
변종이  여기서 파생되어져서  이름이 여러가지로 바뀔수가 있습니다.


자신이 사용중인 Microsoft Windows 운영체제가
MS08-067   취약점의  보안패치가 설치되지 않았다면 , 웜 형태로 유입되어서 PC내부로 침투하게됩니다.

감염된 후에 원래 운영체제가 설치되어있었던  드라이브만 HDD 포맷한뒤 , 재설치한다해도 , 이 웜은 이동식 드라이브, Recycle 폴더에까지 흔적을 남기는데
이동식 드라이브에 남아있었던  웜의 잔재나,
혹은
Recycle 폴더내에 남아있었던  웜의 잔재들,  또는  OS 재설치후에도 보안패치가 설치되지 않았다면 웹으로부터 유입되어져서, 
또 다시 활동할수가 있기때문에



사람들이 흔히  포맷을 한뒤 새로 설치해도  지워지지가 않는다,
이건 뭔가 기계적인 문제일것이다.  라고 잘못 알기도 합니다.



백신업체에서 내놓은   Auto Remove Tool을 수행한뒤 , 보안패치를 하는방법과,
자신이 수동으로 삭제한뒤 , 보안패치를 하는 방법이 있습니다.







아래 번역된 내용은   Kaspersky 글로벌 사이트에서 변종버젼이 아닌,
최초로 발견되었었던 , Net-Worm.Win32.Kido  웜에 대한  내용과 그에따른  삭제방법입니다.

(Kaspersky 한국지사에서 소개한 방법과는 약간 상이할 수가 있습니다.)
 - 아마도 약간 변종에 대한 대처방법을 서술한듯 합니다.

좀더 자세한 삭제방법과 정보를 취득하고 싶다면 ,  다음 링크를 방문하십시오.
http://www.kaspersky.co.kr/board/bbs/board.php?bo_table=Malware&wr_id=277






-자동 제거 방법-

1.아래 파일을 받는다.

2. KidoKiller.exe  를 실행합니다.

3. 검사가 끝날때까지 기다립니다.

4. 최신버젼의 백신으로 업데이트 한뒤 , 전체검사를 수행합니다.

5. 보안패치를 실시합니다.



                               위의 파일은  WindowsXP ,   아래 파일은  Widows Vista 입니다.




-수동 제거 방법-
  1. 아래 경로의 레지스트리 키를 삭제합니다.
    [HKLM\SYSTEM\CurrentControlSet\Services\netsvcs] -> 이 경로에 netsvcs 란 키는 원래 존재하지 않습니다.

  2. [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost] "netsvcs"
    위 경로로 가면 netsvcs 내용에 키 파라메터가 2개 있는데 ,이 웜바이러스는 그 파라메터 값을 이용해서(필자 같은경우는 (12320, 1) 2개가 있음)
    System32 이하에   <rnd>.dll   형식의 파일을 만듭니다. (rnd는   무작위를 뜻합니다.)
    그 파일들을 모두 삭제합니다.

  3. 컴퓨터를 재부팅 합니다.
  4. 원래의 웜 파일을 삭제합니다. (이 원래 웜파일의 위치는 당신 컴퓨터에 웜이 어떻게 침투했느냐에 따라서 달라집니다).
  5. system32 폴더에 들어가서 아래와 같은 형식의 파일을 삭제합니다.

    <rnd>.dll    ( <rnd> 부분은 랜덤으로 생성됩니다.)

  6. 모든 이동식 저장 장치에 들어간뒤 , 아래 경로와 파일을 삭제합니다. 들어가서  삭제합니다.

    <X>:\autorun.inf <X>:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\<rnd>.vmx
    rnd는  랜덤으로 생성되는 이름이며 ,  X 는  이동식 디스크 드라이브 문자열을 말합니다. 

  7. 아래 파일을 OS 버젼에 맞게 내려받아서 설치합니다.



    위의 파일은  WindowsXP ,   아래 파일은  Widows Vista 입니다.

  8. 안티바이러스 SW를 설치하고 , 최신버젼의 DB로 업데이트 한뒤,   전체검사를 수행합니다.
by Sone 2009. 2. 10. 18:36
  • Favicon of https://maj3sty.tistory.com BlogIcon MaJ3stY 2009.02.10 20:31 신고 ADDR EDIT/DEL REPLY

    패치나온 이후로 변종바이러스가 또 나왔다고 하네요.. ㅠㅠ

    • Favicon of https://sone.tistory.com BlogIcon Sone 2009.02.10 20:44 신고 EDIT/DEL

      http://www.kaspersky.co.kr/board/bbs/board.php?bo_table=Malware&wr_id=277

      링크로 들어가셔서 , 자세한 삭제방법과 패치를 진행하세요.

  • Favicon of https://maj3sty.tistory.com BlogIcon MaJ3stY 2009.02.10 21:24 신고 ADDR EDIT/DEL REPLY

    전 걸리지 않았어요~ 그냥 그렇다는 말이죠 ㅎㅎ

  • vafaf 2009.02.10 22:18 ADDR EDIT/DEL REPLY

    만약에 2090 바이러스 걸렸다고 해도

    전문가가 고치려도 해도 2090 바이러스 사라지지 않나요?

    • Favicon of https://sone.tistory.com BlogIcon Sone 2009.02.10 22:24 신고 EDIT/DEL

      웜바이러스도 프로그램에 불과합니다.

      프로그램의 행동에는 어떠한 규칙과 논리적 움직임,
      패턴등이 있기 마련인데,

      웜바이러스 또한 마찬가지죠.

      보안 전문가는 이런 패턴들을 완벽분석하여 , 비로소 해결책을 내놓게 됩니다.

      보안전문가가 말하는대로만 잘 이행한다면,
      컴퓨터내부에서 완벽 제거할수 있습니다.

  • Favicon of http://blog.naver.com/godrl7979 BlogIcon 오오해결법.. 2009.02.10 22:52 ADDR EDIT/DEL REPLY

    걱정하고 있었는데 이런 해결책을 주시니 감사.. 또 감사 ㅇ ㅅㅇ..

  • Favicon of https://jmusiq.tistory.com BlogIcon 무달 2009.02.11 01:42 신고 ADDR EDIT/DEL REPLY

    좋은자료입니다~

  • BlogIcon 소다 2009.02.14 16:55 ADDR EDIT/DEL REPLY

    완벽히 치료했습니다 감사드려요 ㅠㅠ
    이 포스트 저희 카페 회원들을위해 퍼가도 될까요?

    • Favicon of https://sone.tistory.com BlogIcon Sone 2009.02.14 20:42 신고 EDIT/DEL

      네 , 퍼가도 상관없습니다.

  • Favicon of http://cyworld.com/ensia08 BlogIcon 청주 게임방 2009.02.18 14:45 ADDR EDIT/DEL REPLY

    게임방 원본 작업하려 포멧후 윈도 설치후 마소 싸이트 업데이트를 받으려다가 열리지 않는 마소싸이트때문에
    두시간 가량 쌩 고생을 하고 결국 백신 돌려보고 이 망할놈의 바이러스라는 결론을 얻게 되었습니다. -_-;
    블로그 주인장께서 올려주신 kido킬러 돌린후 백신 전체 검사후 보안 패치 후 재붓 후에 열리는 마소싸이트를 보고
    눈물이 날뻔 했습니다. ㅎㅎ 제가 걸린건 변종이었던것 같은데 다행이 치료가 된것 같아 지금 현제 업데이트 무사히 받고 있습니다. 정말 감사합니다.

    • Favicon of https://sone.tistory.com BlogIcon Sone 2009.02.18 18:33 신고 EDIT/DEL

      도움이 됐다니 , 다행이네요.
      어서 빨리 복구하셔서
      영업에 차질이 없으면 하는 바램입니다.

  • jjs 2009.03.15 00:26 ADDR EDIT/DEL REPLY

    아이구 감사드립니다. 도움이 됬네요 좋은일 하셨으니 좋은일도 많이 생기시길^^

  • Favicon of http://blog.naver.com/limlikefear BlogIcon 김범진 2009.04.02 17:29 ADDR EDIT/DEL REPLY

    이동식디스크에 연결할때마다 뜨는데, 이건 어쩌지요??

    • Favicon of https://sone.tistory.com BlogIcon Sone 2009.04.02 17:34 신고 EDIT/DEL

      모든 이동식디스크에 있는 코드를 다 제거하세요

  • 이름모를사람 2009.10.14 02:21 ADDR EDIT/DEL REPLY

    덕분에 도움 받았습니다.

  • jerry 2010.01.13 13:55 ADDR EDIT/DEL REPLY

    감사해요~
    컴맹인데 님 포스트 덕분에 바이러스 치료 잘 했어요
    알약이나 v3로는 영 안잡혀서 고생중이었거든요..
    너무 감사해서 댓글 남깁니다~ ^^

  • 행인 2010.01.16 02:02 ADDR EDIT/DEL REPLY

    V3Lite에서 키도가 잡히길래 놀라서 검색하다 여기도 들렀는데요.
    올려주신 백신이랑 보안패치했는데 안잡힙니다..
    백신은 했는데, 뭐뭐가 denied됐다고 나오고,
    무슨 얘긴지 몰라서 보안패치 실행했더니 업데이트가 시스템에 적용되지 않는다고 나오네요..
    이럴땐 어찌해야 하는지요.. 우선 당장 컴퓨터 사용하는데 어떤 불편을 느끼진 않는 상태입니다.

  • 행인2 2010.11.18 09:19 ADDR EDIT/DEL REPLY

    정말 도움이 되었습니다..^^ 감사

  • 최고 2011.01.06 15:00 ADDR EDIT/DEL REPLY

    일단 뭔가 지워지니 후련하네요 감사합니다. 사랑해요~

  • Favicon of http://ㅁㄴㅇ@ㅁㄴㅇ.com BlogIcon 우왘 2011.02.24 23:53 ADDR EDIT/DEL REPLY

    그런데 이거 커맨더 뜨는거 맞죠??

    system32에서 막혀버려여 ㅜㅜ