kxvo.exe 와 kavo.exe 는 USB 바이러스

kxvo.exe 와 kavo.exe 는 USB 바이러스로 요즘 기승을 많이 부리는 것 같네요.
전 하드드라입 2개에 엠피삼 + SD카드 까지 합하면 총 4개의 드라입이 있고..
이 네 곳에 순식간에 바이러스가 잠입해 들어갑니다.

알게 모르게 갈아치워 버린 여분의 하드드라이브들도 괜히 의심이 가는군요.

지워도 지워도 지워지지 않는 바이러스라는 점이 나를 미치게 만들고
이젠 변종들이 수시날락으로 업데이트 되고 있어서 손을 놓고 싶게 만듭니다.

kxvo.exe 와 관련해서 생기는 파일들과 위치는 다음과 같습니다.

c:\windows\system32\kxvo.exe

각 루트 폴더에 autorun.inf,

각 루트 폴더에 ??delect.com

c:\windows\system32\fool?.dll

c:\doc-uments and Settings\사용자이름\Local Settings\Temporary Internet Files\hax.exe

c:\doc-uments and Settings\사용자이름\Local Settings\Temporary Internet Files\ll.exe

(hax.exe 와 ll.exe 는 경우에 따라 없을수도 있습니다)

모두 시스템파일이며, 숨김속성, 읽기전용속성을 가지고 있습니다.
(그리고 hax와 ll은 보관까지 설정되어있다는 -ㅁ-)

이전의 포스팅을 보신 분들은 아시겠지만

ntdelect.com
nldelect.com
nndelect.com
xsdelect.com

 

 

이 바이러스가 입히는 피해는

▷ 숨김파일 해제 불능
-> 폴더 옵션에서 숨김해제가 죽어도 되지 않습니다.
   따라서 kxvo.exe 비롯한 다른 바이러스들까지 은폐될 수도 있습니다.

▷ 드라이브 더블클릭시 새창으로 뜸
-> 드라이브를 컨트롤하는 연결파일이 어째서인지 ??delect.com 으로 설정되어

    있습니다.
    kavo 관련 바이러스는 제가 접한바 없으나, kxvo 관련 바이러스는 이 증상이

   나타납니다.
   
▷ 인터넷 익스플로러 오류
-> kavo_killer.exe 를 써보고 난담에 알아차렸는데,
   인터넷 익스플로러에서 글을 쓸수가 없습니다.
   그리고 간혹 지 맘대로 런타임오류 및 갖은 이유를 들이대며 IE를 꺼버립니다.

* 그러나, 파이어폭스에서는 오류가 일어나지 않는것으로 보아
   IE에만 작용하는것으로  볼수도 있습니다.

▷ 사용자 정보의 전송
-> 가시적으로는 보이지도 않지만, 안철수연구소와 카더라통신에 의하면
온라인게임 정보유출 등 사생활 침해 가능성이 있다고 보고됩니다.

 

파해법

이 방법들은 안전모드에서 USB 드라이브를 연결하시고 수행하시는 것을 권장합니다.

그리고 안전모드를 시작할때 Administrator 권한에서 한번, 사용자 권한에서 또 한번 재검하시는 것도 권장합니다.
아마 Administrator 에선 USB 드라이브가 잡히지 않았던 것 같아서요..
▷ cmd상

시작 - 실행에서 cmd를 이용한 방법이며 attrib 와 del 을 이용해 파일을 삭제합니다.

각 루트 드라이버에서 dir /ah 를 하면 숨김파일들을 볼수 있습니다.
그리고 해당 파일을 그냥 지울 수 없기때문에 파일 속성을 고칠 필요가 있습니다.

attrib kxvo.exe -s -h -r
(-s는 시스템파일특성을 -h는 숨김파일특성을 -r은 읽기전용 파일특성을 지우는 옵션입니다)
그리고 del kxvo.exe /f
(/f 는 읽기 전용파일을 강제로 삭제하는 옵션입니다)

마지막으로 dir /ah 으로 파일이 삭제되었는지 확인합니다.

 

이런 식으로 autorun.inf 와 kxvo.exe, ??delect.com 을 지워주시면 됩니다.

만약, kxvo.exe 를 먼저 지우시면 ??delect.com 은 자동으로 지워지게 됩니다.

그리고  시작 - 실행에서 msconfig 를 실행하세요.

마지막 시작프로그램 탭으로 가셔서 kxvo 에 체크 해제하시면 됩니다.

▷ kavo_kliller 와 이지클린이용

윈도에서 kavo_killer 와 이지클린(혹은 기타 레지스트리 정리프로그램)을 이용한 방법입니다.

 

kavo_killer.zip 을 다운받습니다.
압축을 풀고 실행을 하시면 굵은 버튼 네 개중 마지막의 팬더가 불에 타들어가는 버튼을 눌러주세요.

그러면 실행되고 있던 익스플로러와 인터넷 익스플로러가 모두 종료되면서 작업을 수행합니다.

다시 익스플로러가 실행되면 내 컴퓨터에 들어가서 도구(T) - 폴더옵션(O) - 보기 로 들어갑니다.

항목들을 살펴보면 '보호된 운영체제 파일 숨기기(권장)'을 해제하시고, 숨김파일을 보이게 설정하신 다음 아래에 있는 '시스템 폴더 내용표시'도 체크하세요.

그러면 각 드라이브에 숨겨진 파일들과 숨겨진 시스템 파일이 보일겁니다.

이제 위에 적힌 경로에 있는 파일들을 하나씩 지우시면 되겠습니다.

참, hax.exe 와 ll.exe 는 폴더에 표시 되지 않을수도 있으니 파일찾기(단축키 F3)를 통해 파일을 찾아서 지워주세요.

그리고 레지스트리 정리 프로그램을 이용해 찌꺼기 레지스트리를 삭제합니다.

 

마지막으로 시작 - 실행에서 msconfig 를 실행하세요.

마지막 시작프로그램 탭으로 가셔서 kxvo 에 체크 해제하시면 기본적인 처치는 끝입니다.