---- 신종 웜 악성코드 tcp.exe ----

1. 종류 : 신종 웜 악성코드(백도어), (저작권은 첨들어보는 dayinside라는 회사)

2. 상주구역 : system32 , prefetch , ram

3. 현재 알려진 감염경로 : 벅스 뮤직 재생기 업데이트후에 생김

4. 작성된 프로그램언어 : 비쥬얼 베이직

5. 시스템에 끼치는 영향 :

  ⓐ. 11840Kb먹으면서 메모리상주

  ⓑ. 더블클릭으로 열어보면 //login.promail.co.kr/bx.asp라는 페이지존재하며 들어가보면

      자신의 IP가 나옴.

  ⓒ. 레지스트리의 runonce에서도 실행, :WINNTSystem32shdocvw.oca 실행

       SoftwareMicrosoftWindowsCurrentVersionRun에서 system32winsystem.exe실행..

  ⓓ. 윈도우 시스템 파악, 키보드사용여부와 커서위치파악

  ⓔ. 무작위로 포트 오픈

6. 알려진증상 :

  ⓐ. 익스플로러에서 새창이 안뜸

  ⓑ. 인터넷 속도저하( 특히 온라인 멀티 인터넷 게임시 )

  ⓒ. 작업관리자에서 프로세서를 죽여도 재부팅후 계속 살아남.

7. 알려진 치료백신 : 현재 없음 (ㅡ,.ㅡ;;)

안철수 연구소에서는 아예 언급이 없고 자사제품(v?)로도 발견 안됨.

노턴 안티바이러스200x 에서도 발견안됨.

각종 스파이웨어 제거프로그램들(다건다, 애두웨어, 애드푸리등등)에서도 못잡음..

단, 바이러스체이x에서 winsystem.exe를 Trojan.Downloader.442로 인식

[추가] 애드푸리에서 winsystem.exe를 인식하고 치료가능하게 되었네요...

8. 전종욱 파코즌님 덕분으로 치료하게된 방법

tcp.exe가 winsystem.exe라는 프로그램과 연동을 하더군요....

그래서 작업관리자에서 프로세서를 죽이고 system32 에서 tcp.exe를 지워도

재부팅후 계속해서 살아났던겁니다...

그래서 먼저 타켓을 tcp.exe가 아닌 "winsystem.exe" 로 잡고 해야합니다...

둘다  c:windowssystem32 에서 발견하실수 있습니다..

9. 알려진 감염 OS : 윈도우 NT계열 (저의 OS는 윈도우 XP프로 SP1입니다)

-------- 자세한 치료방법 -----------

ⓐ. ctrl+Alt+Del 키를 눌러서 작업관리자를 연다음에 프로세서 탭을 누룬후 tcp.exe를 찾아서

     마우스 우클릭해서 나온 메뉴중에 "프로세서 끝내기"를 클릭해서 tcp.exe의 실행을 종료시킨후

     작업관리자 창을 닫는다.

ⓑ. 윈도우키+E 를 이용해 탐색기를 연후 c:windowssystem32 에있는

     tcp.exe와 winsystem.exe를 찾아서 지운후 탐색기를 닫는다.

ⓒ. ctrl+R 키눌러서 실행창을 띠운후에 regedit를 입력,  레지스트리 편집창을 띠운다.

ⓓ. 레지스트리 편집창이 뜬 상태에서 ctrl+F 를 이용해 레지검색창을 연후 tcp.exe라고 입력후

     검색해서 나온 모든 tcp.exe관련 레지를 지운후 레지편집창을 닫는다.

ⓔ. 마지막으로 ctrl+R을 이용해 실행창을 띠운후 msconfig를 입력해서 시스템 구성 유틸리티를 띠운후

     제일 마지막 탭에있는 시작프로그램을 클릭해서 나온 아래의 프로그램명중에  

     시작항목이름이  winsystem 이라고 되어있는놈 앞의 체크표시를 없앤다...

ⓕ. 재부팅한후 작업관리자를 열어서 프로세서부분을 연후 tcp.exe가 실행되는지 확인해본다

     (아마 없을 것이다....)

나중에 안철수연구소나 다른 바이러스또는 스파이웨어 제거 회사에서 확실한 치료법이 나오겠지만

이렇게 하시면 tcp.exe를 잡고 쓰실수 있습니다...

ps> 다시한번 전종욱 파코즌님께 감사드립니다..

혹시나 갑자기 인터넷 속도저하현상이 나타나시는분들 ctrl+Alt+Del 키를 눌러서 작업관리자를 연후

tcp.exe라는 프로세서가 실행중인지 지금바로 점검해 보세요.....

※ 주의사항 : 전종욱님의 답변글에서도 보듯이 벅스뮤직플레이어가 원인이며

tcp.exe와 winsystem.exe 이 두화일이 없으면 벅스뮤직에서 다음곡이 안들어진다는군요...

벅스의 음모라는 전종욱님 말씀에 동감가네요....벅스측에서 해명또는 조치가 이루어 지겟네요...조만간...

참고하세요~

출처 : 파코즈

1. 1. 이인향 '04.7.18 7:21 AM 신고
   :-)*여러사람 피곤해 지겠네요 ... ↓댓글에댓글
2. 2. 박성우 '04.7.18 6:58 PM 신고
   :-)*바이로봇에서도 잡히네요..; ↓댓글에댓글
3. 3. 이단호 '04.7.20 6:36 PM 신고
   :-)*어쩐지... 노턴 방화벽에서 이거 접속하려고 한다고 경고 떠서 확인하니 설치 한적이 없었는데 있어서 찝찝한 기분에 지웠었는데...
   =0= ↓댓글에댓글
4. 4. 안성배 '04.8.23 1:39 PM 신고
   :-)*안녕하세요, 이 자료를 제 연구자료에서 일부 인용하겠습니다. 괜찮죠? ↓댓글에댓글

1. 1. :-)*여러사람 피곤해 지겠네요 ... 이인향 '04.7.18 7:21 AM
2. 2. :-)*바이로봇에서도 잡히네요..; 박성우 '04.7.18 6:58 PM
3. 3. :-)*어쩐지... 노턴 방화벽에서 이거 접속하려고 한다고 경고 떠서 확인하.. 이단호 '04.7.20 6:36 PM
4. 4. :-)*안녕하세요, 이 자료를 제 연구자료에서 일부 인용하겠습니다. 괜찮죠?.. 안성배 '04.8.23 1:39 PM