윈 도 우 서비스 항목에 Intelligent P2P Zombie 활성화?
2011.08.16 04:45
인근 사무실 컴퓨터를 잠시 사용하던 중
Windows 7 Enter x86 에서 서비스에 Intelligent P2P Zombie 라는 생소한 항목이 있기에 문의를 드립니다.
이 항목이 자동 시작됨으로 활성화 되어 있더군요.
연결된 실행 파일은 C:\windows\system32\IPZ.EXE 라는 파일이었고 이 컴퓨터에 백신은 V3 IS 8 이 설치되어 있었는데
로그 파일을 확인해 보니 아래 그림처럼 두 번 정도 실시간 체크되에 삭제된 기록을 확인할 수 있었습니다.
자동 삭제된 후에도 같은 파일이 다시 생성되고 위에서 언급한 Intelligent P2P Zombie 라는 서비스 항목이 계속 활성화 되어 있었던듯
싶습니다. 그리고 재생성된 해당 파일도 현재 바이러스 체크가 되지 않는 상태입니다. 일단 서비스 항목은 중지시켜서 해당 파일(IPZ.EXE)은 제거하고, 서비스는 시작 안함으로 설정해 둔 상태입니다만 왠지 찜찜합니다.
우선 Intelligent P2P Zombie 라는 서비스 항목의 의미와 시스템에 미치는 영향, 그리고 이의 조치에 대한 고견을 윈포님들께 청해 봅니다. 직역 "영리한 P2P 좀비" 라는 느낌이 영 꺼림직합니다.
감사합니다.
댓글 [13]
-
초월신 2011.08.16 09:00 -
compuser 2011.08.16 12:49
시스템 뒤집기 전 이 것에 대해 알고 싶어 문의를 드렸습니다.
ipz.exer라는 파일은 제거하기 전 샘플을 채취해 두었습니다. 헌데 옆에 다른 PC에서도 IPZ,에 대한 백신의 체크가 있었더군요.
XP SP3입니다. 초월신님의 말씀처럼 우려되는 부분이 있어 기본 조치는 취하고 있습니다만 상황에 대해 어느 정도 확인된 후에는 엎어버릴 생각입니다.
감사합니다. 초월신님 더 많은 가르침 바랍니다.
-
인생무상 2011.08.16 09:26 무서운 내용 입니다.
휴~~
-
compuser 2011.08.16 12:57
엎고 싶은데....
확인도 해 보고 싶습니다.
-
SSHR 2011.08.16 11:05 샘플을 올려주시면안될까요? 분석해보고싶..<퍽!
-
compuser 2011.08.16 12:55
샘플 올려도 올려도 되나요? 위 상황 조치시에 채취해둔 샘플입니다. SSHR님 받으신 연후에 바로 삭제하겠습니다. 댓글 주세요. 파일이 파일인지라 일단 내렸습니다.
암호 걸어 올립니다.
-
초월신 2011.08.16 13:07 전 IPZ 샘플보다, 드롭퍼(악성코드를 감염시키는 악성코드)가 더 궁금하네요.
계속 비슷한 악성코드에 감염되는걸 보면, 드롭퍼가 분명 있을껀데, 로컬네트워크상의 다른PC에도 감염되는 모양이군요.
네트워크상에 이걸 뿌려대는 컴이 있는 듯.....(어쩌면 컴 한대에 감염된 악성코드에서 ARP 스푸핑을 해놨을지도 모르죠...)
-
compuser 2011.08.16 13:08
저도 그 것이 우려됩니다.초월신님
-
요즘넌 2011.08.16 14:39 좀비가 스마트하게(?) PC간에 연결되어 있다니 정말 기분 나쁜 이름이군요...
-
요즘넌 2011.08.16 14:54 https://about-threats.trendmicro.com/Malware.aspx?language=us&name=WORM_BIZOME.SMD
https://aka-community.symantec.com/connect/forums/virut-virus
검색해 봤는데 Radmin이라는 프로그램이나 서비스하고 관계가 있는것 같기도 합니다.(udp port 4899 and tcp port 310)
Intelligent p2p zombie sends icmp packets randomly to all the ports available. if you are using Radmin Application intelligent p2p zombie will start spread ipz.exe and copy itself on every client that has an active radmin service with the same radmin user authentication
-
초월신 2011.08.16 15:28 radmin = Remote Administrator : 원격지에서 관리자 권한을 갖는다는건데, 쉽게 말하면 원격제어네요.
윈도우 자체의 원격제어 기능을 쓰는것 같군요.
compuser님께서 올려주신 샘플 받아서 가상머신에서 실행시켜보니,
DNS 쿼리를 수없이 많이 넣는데, 정작 유의하게 접속하는건 없더군요.
일단 제대로 분석하기 귀찮고 해서, IAT 영역만 확인해서 어떤 API함수 갖다 쓰는지 알아보니,
다른 프로세스에 직접 관여한다던가, 메시지 후킹을 한다던가...그런건 없는걸로 봐선
이건 그냥 다른 악성코드 다운받아와서 감염시키는 역할밖엔 안하는 듯....
-
compuser 2011.08.16 16:19
초월신님 관심 가져주시고 확인해 주셔서 대단히 감사합니다. 설명해 주신 내용으로도 일단 우려했던 부분에 대한 어느 정도의 안도가 됩니다. 다른 유저들에게도 이 상황을 통해 한 번쯤 확인해 볼 수 있는 계기가 되었으면 합니다. 일단 다 뒤집기로 했습니다.
윈포님들께 다시 한 번 감사 드립니다.
-
compuser 2011.08.16 16:15
정보 감사합니다. 이 부분도 확인해 보아야 하겠군요. 리모트 컨트롤 프로그램을 사용하는지에 대해서는 미처 확인하지 못했습니다.
번호 | 제목 | 글쓴이 | 조회 | 등록일 |
---|---|---|---|---|
[공지] | 질문과 답변 게시판 이용간 유의사항 | gooddew | - | - |
25084 | 소프트웨어| ie9 파일 다운로드시에 알림표시줄 없애는 방법?? [2] | moon77 | 3673 | 08-16 |
25083 | 소프트웨어| wav 파일의 tag를 편집할 수 있는 방법이 있을까요? [2] | 터구리 | 3587 | 08-16 |
» | 윈 도 우| 서비스 항목에 Intelligent P2P Zombie 활성화? [13] | compuser | 3817 | 08-16 |
25081 | 소프트웨어| 파이어폭스-프록시 서버가 연결을 거부함 [3] | 탱구궁디팡 | 8649 | 08-16 |
25080 | 윈 도 우| 고민이 되네요..^^ [3] | MWUserSun | 2331 | 08-16 |
25079 | 서버 / IT| 유투브가 로딩 방식이 이상해요 [2] | 박정윤 | 3158 | 08-16 |
25078 | 윈 도 우| 윈도우7 재부팅할때마다 휴지통 위치가 올라가요.ㅠ | MISOPE | 2561 | 08-16 |
25077 | 하드웨어| 램 속도에 관한 질문... [2] | 창문들시스템 | 2224 | 08-16 |
25076 | 소프트웨어| 인텔 최신 칩셋 드라이브를 알고 싶어요 [18] | 비비안린 | 2708 | 08-15 |
25075 | 소프트웨어| XP AUTO CD 만들기에서 오류.. [2] | 메챠쿠챠 | 2177 | 08-15 |
25074 | 윈 도 우| xpghost 질문 드려요 | 꿀이얏 | 4835 | 08-15 |
25073 | 하드웨어| 견적 평가 부탁 드립니다. [2] | Icadia | 2461 | 08-15 |
25072 | 소프트웨어| 윈포 유저들은 사파리 잘 안쓰시나요? [4] | 통나무 | 2526 | 08-15 |
25071 | 윈 도 우| 윈8에서 쓸만한 백신이 뭐가있을까요 [6] | 박준맨 | 4973 | 08-15 |
25070 | 윈 도 우| 익스플로러실행오류 추가문의 [2] | 글루미라이 | 3421 | 08-15 |
25069 | 윈 도 우| 내컴퓨터 하드용량 10%미만시 붉은색 그래프 문제 [2] | 로얄칠드 | 2949 | 08-15 |
25068 | 윈 도 우| 서비스팩을 깔고 난후 이상해졌습니다. [1] | 글루미라이 | 3310 | 08-15 |
25067 | 하드웨어| Pentium B940는 어느정도의 성능인지요 [2] | 가난한사람 | 5059 | 08-15 |
25066 | 하드웨어| 문의)) i7 - 995X CPU는 언제 출시 할까요? | Chobits0914 | 2758 | 08-15 |
25065 | 하드웨어| 문의)) DDR3 8G 메모리는 언제쯤 나올까요? [2] | Chobits0914 | 3327 | 08-15 |
https://www.f-secure.com/v-descs/worm_w32_agent_ipz.shtml
이 악성코드는 이메일로 전파되거나, 특정 웹사이트에서 취약점 공격을 통해 감염 될 수 있습니다.
몇 번 진단 되어서 삭제 되었다가 재발견된 걸로 봐서는,
이 악성코드를 드랍해주는 다른 악성코드가 있거나,
자주 방문하시는 사이트의 보안 문제가 해결되지 않고 있는겁니다.
그리고 진단명 끝자리가 바뀌고 있고, 최근것은 진단이 안된점으로 미루어 볼 때,
계속해서 변종이 Drop 되고 있음을 알 수 있습니다.
가짜 보안경고를 표시함으로써 가짜 보안패치를 설치하도록 유도하는군요.
사용자에게 직접적으로 미치는 악영향에 대해서는 나와있지 않네요.
사용자의 컴퓨터나 네트워크에 데미지를 입힐 수 있다고는 하는데, 너무 포괄적인 내용이죠.
샘플 채취해서 분석해 봐야 알 수 있는거지만, 서비스 이름으로 볼 땐
해커가 DDoS 공격에 이용하기 위한 봇넷을 구성하는 일원인 좀비PC를 생산해 낸 듯 합니다.
아마 내부적으로 IRC채널을 열어두고 다른곳에 있는 해커의 명령을 받기 위해 대기하고 있겠죠.
%windir%\system32\jushed.exe
이 파일도 악성코드 파일일 수도 있으니 확인해 보세요.
이 파일들만 삭제하는게 능사가 아니라, 어디로부터 감염되는지 확인해서 없애는게 중요할 듯 하네요.
일단은 백신을 Avast나 Avira 등으로 바꾸시는 방법도 있겠고,
아니면 임시로 Kaspersky의 프리웨어 백신을 이용하시려면
https://support.kaspersky.com/viruses/avptool2011?level=2
이걸 받아서 검사해 보시면 됩니다. (업데이트가 안되고, 감시기능은 없는 프리웨어 스캔 프로그램입니다.)
V3 정품이용자시라면, 안랩에 연락하시면 연구진이 원격으로 잡아줄 겁니다.