iqe32.exe USB 웜

 

 

회사에서 한 팀원이 USB 메모리를 잠깐 가져가더니, 웜을 옮겨서 가져왔다.

 

보통 treeview쪽을 눌러서 폴더의 내용을 보는 쪽인데, 그날따라 무심코 listview쪽을 눌러서

 

 

열어버렸네. 새로운 탐색 창이 뜨며 USB메모리의 내용물이 나올 때 아차 싶었다.

 

 

 

USB안의 autorun.inf의 내용

 

[autorun]

open=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\iqe32.exe

icon=%SystemRoot%\system32\SHELL32.dll,4

action=Open folder to view files

shell\open=Open

shell\open\command=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\iqe32.exe

shell\open\default=1

 

 

iqe32.exe 프로세스가 explorer.exe에 물리게 된다.

결국 PC에서 이 웜을 삭제하려면 explorer프로세스를 죽여야 한다.

 

 

내가 해결한 방법은 다음과 같다.

 

1. 일단 레지스트리 편집기를 열어서, iqe32.exe가 들어간 부분을 찾아 전부 키를 삭제해 준다.

 

2. 작업 관리자를 열어 explorer.exe를 죽인다.

 

3. 작업 관리자 파일 메뉴, 새 작업에서 cmd를 입혁한 후 엔터

커맨드 창에서 

모든 드라이브의 RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\iqe32.exe를 삭제해 준다.

HIDDEN이었나? 플래그가 걸려있기 때문에 del 사용시 /A옵션을 써주어야 한다.

물론 디렉토리도 플래그가 걸려있기 때문에 dir /a 를 해야 정확한 이름이 보일 것이다.

 

4. 작업 관리자 새 작업에서 다시 explorer.exe기동 -끗-

 

 

자동실행은 끄고, 항상 탐색기 왼편의 treeview에서 드라이브 여는 습관이 중요한 것 같다.