하.. 허접한저가 방금 밑에 어떤분이 midimap.dll (windows\system32\)에 있는 것이 18kb 넘어가면 바이러스 걸려있는거 확실하다고 써ㅤㄴㅘㅅ길래 가서 ㅤㅂㅘㅅ더니 전 20kb이더러고요... 그래서
바이러스 스켄.. norton, V3 돌리면서 체크했는데.. 암것도 안뜨더라고요..
너무 답답한 마음에 인터넷에서 볼꺼 다보고 총정리해서 올립니다...
일단 저의 스펙을 말하자면..
Windows 7 Home Premium K 64 bit (정품)
HP pavilion dv6 Notebook PC 를 소장하고있는 한 小인입니다.
컴터 운영체제 체크할려면 그냥 컴터 들어가서 위에 시스템속성 눌르시면
나옵니다!
바로 본론들어가죠
ps. 참고하셔야할것은 저 컴터는 windows 7입니다... 다른 OS랑 틀릴수있습니다. (잘은모르지만 ㅠㅠ)
====================================================================================
일단.... midimap.dll 에 대해서 잠시만 분석을 해볼려고합니다.
<< 32/64비트둘다 @Windows\System32\>>
File description (파일설명)
Microsoft MIDI Mapper
File Version (파일버전)
6.1.7600.16385 (win7_rtm.090713-1255)
Application (제품)
Microsoft Windows Operating System
App version (제품 버전)
6.1.7600.16385
Type (운영체제)
64-bit
Publisher (만든이)
Microsoft Corporation
Copyright (저작권)
(c) Microsoft Corporation. All rights reserved.
이런 파일이고 MIDI 파일들을 encoding(?)하는데요, 이건 그냥 mp3 라고 생각하셔도 괜찮을것같습니다.
저가 MIDI 파일들을 쓸ㅤㄸㅒㅤ는... 악보같은거 만들고 음악파일로 저장할때 저걸로 만드는데요... 음질은 저질이고 사이즈는 엄청 작습니다.
Size (사이즈)
20 KB (20,480 Bytes)
Captured from (업뎃안한거 *저의생각으로는.. 서비스팩아직설치안하신분)
Core without updates
OS at capture (윈도우 버전)
Windows 7 (RTM), Build 7600, 64-bit edition
<<64비트일경우 이것도 존재합니다 @Windows\SysWOW64>>
Size
17 KB (16,896 Bytes)
Captured from
Core without updates
OS at capture
Windows 7 (RTM), Build 7600, 64-bit edition
☞그러므로써 바이러스가 안걸린 원본파일은... 싸이즈가 20KB도있고 17KB 있고 둘다있어요.. (단 윈도우 7 64bit에서)
바이러스를 분석해보자면...
>>Malicious file info
MD5 : 5293F5A8C3A531E44BBA1F594D94DB41
SHA-1 : 2DFA6631F5D3792A6F32681CD72D822C75A80E09
>>Modify files
%PFDIR%internet explorer\midimap.dll
MD5 : 3F77F405642299B4EA6B7304F9CD5EE6
SHA-1 : 554A4A37B49A5CB2C3A85527EECC340F42A38908
감염 된 상태에서
nexon.com
ndoors.com
pmang.com
itembay.com
df.nexon.com
해당 URL에 접속을 해 계정정보입력후 로그인을 하게 되면.
계정정보가 112.121.166.50 으로 전송 되게 됩니다.. (우왕......ㅋㅗ-_-)
<<지금서부터 체크시작★★>>
① 일단 재일쉽고 간단하게 체크하는 방법이 한가지가 있는데요..
그냥 C:드라이브 ->> Program Files ->> Internet Explorer 가셔서
midimap.dll 이있나 없나 체크하셔서 있으면 지우면됩니다.
(32/64비트 경로: C:\Program Files\Internet Explorer)
(64비트 경로: C:\Program Files (x86)\Internet Explorer)
대부분 인터넷이 켜지면서 실행되는 dll이기ㅤㄸㅒㅤ문에 internet explorer 파일에 존재한다느것을 많이 ㅤㅂㅘㅅ습니다.
ps. 64비트 운영체제 쓰시는분들은 둘다 체크하셔야합니다.
② 혹시나 더 확실하게 체크하시고싶으신분들은...
a) (모든운영체제)
컴퓨터->> C드라이브 (아니면 OS가 돌아가고있는 드라이브) ->> Windows ->> System32
(경로: C:\Windows\System32)
이곳으로 들어가셔서 밑으로 쭉내리셔서 midimap.dll 찾으시면 됩니다.
그리고 오른쪽클릭 속성 들어가셔서 위에 자세히 누르시면
이렇게 뜹니다... (저 서비스팩1설치아직안햇어요.. 던파에 문제있다고해서..)
※지금서부터중요합니다!
만약에 저가 올린 이미지처럼 안보이시고
제품버전이 틀리시거나 저작권이 마이크로소프트가 아니거나 파일의 사이즈가 다를뗀,
오염됫을가능성이 엄청높습니다.
이럴경우엔 그냥 살며시 삭제를 눌러주신다음에 구글가서 그냥 midimap.dll download 라고 치던가..
ㅤㅉㅒㅅ든 dll 은 찾기 쉽습니다..
b) (64비트운영체제는 이것도 체크해야됩니다...)
컴퓨터->> C드라이브 (아니면 OS가 돌아가고있는 드라이브) ->> Windows ->> SysWOW64
(경로: C:\Windows\SysWOW64)
이곳으로 들어가셔서 밑으로 쭉내리셔서 midimap.dll 찾으시면 됩니다.
그리고 오른쪽클릭 속성 들어가셔서 위에 자세히 누르시면
이렇게 떠요
위에 1번에 적혀있는거랑 똑같이 체크해주시고 다를경우 1번이랑 똑같이 감염ㅤㄷㅚㅆ을 찬스가 높습니다.
③ 거이? 완벽하게 체크하는방법... (2번을 하지않으셧으면 3번은 못해요)
일단 프로그렘 하나를 소개합니다. Process Explorer 이라고 하는 플그렘인데요
작업관리자랑 비슷한 플그렘인데, 다른점이있다면 훨신더 상세하고
지금 실행되고있는 dll 같은것들을 손쉽게 찾을수있는 플그렘입니다.
분명.. 훨신더 유용할수있을텐데.. 전 ㅠㅠ 컴터허접이라서 ㅠㅠ 자세히는.. 쩝 ㅠㅠ
(링크:
http://technet.microsoft.com/en-us/sysinternals/bb896653) 일단 압축파일로 다운을 받게되고요 그냥 압축풀고 실행시키면됩니다.
※걱정마세요.. 바이러스없고요 절때 이프로그렘 홍보하는거아닙니다..
대충이런 화면나오고요
ctrl+F 눌르시면 대충이런거 뜹니다.
안뜰경우엔 위에 Find 눌르시면 옵션한가지밖에 없고 그거 눌르시면됩니다
그럼 거기 에다가 midimap.dll쓰면되고요
이렇게 뜰꺼인데
여기서 중요한건 Handle or DLL 밑에 있는 모든 경로가
C:\Windows\System32\midimap.dll 이거나
C:\Windows\SysWOW64\midimap.dll 이여야됩니다
아까 2번 체크과정에서 파일들이 정품이고 감염되지않았다는것을 확인햇더라면
이것은 정상적인것입니다.
하지만 만약에 경로가 다를경우... 바로 그 파일위치찾아서 지워주셔야됩니다.
그럼 끝입니다!
ps. Windows 폴더에서 dll 파일을 지우시면 꼭!!! 다시 다운받으셔서 바꾸셔야합니다.
다운받고 바이러스체크하는거 깜박하지마시고요
바이러스체크안하고 그냥 집어넣어서 컴터 이상해지면 저 책임아닙니다!
=================================================================================
하.. 힘들다.. 끝낫다....
출처:
http://www.bleepingcomputer.com/forums/topic279327.html http://kjcc2.tistory.com/832 http://itmonster.tistory.com/52 그리고.. 나!!!!!!!나나나나나ㅏ나!!!
나도ㅤㅆㅓㅅ다고!!! 아니...내가 다썼어ㅤㅇㅓㅎㅤㅇㅓㅎ어허어 ㅠㅠ 힘들다..
설마.. 이렇게 던파분들을위해서 열심히 ㅤㅆㅓㅅ느데.. 베오베안갈까..?
에이.. 설마...ㅋ....
도와주실꺼죠 여러분?
