사진 출처 : http://www.mcdonalds.co.kr/www/kor/menu/menu_view.do?cate_cd=110&product_cd=sm100&group_seq=0


< (내 사랑) 1955 버거 세트 >

프라이와 콜라(or 사이다)는 Big 사이즈로 바꿔서 먹기를 추천!

맥 너겟은 최대 6 조각이 적당하더군요.

요약하믄 디따 맛나요.


1955 버거의 양파와 토마토가 부드러운 느낌과 깔끔함을 유지하기에

버거 중에 최고로 생각되네요.


< (내 사랑) 더블 1955 버거 세트 >

더블 1955 버거 세트는 위의 1955 세트와 마찬가지로

프라이와 음료를 Big 사이즈로 함께 해서 먹는 것을 추천!

치킨 너겟은 패티 양과 비례하여 4조각으로 줄여주심이 좋을 듯하네요.


패티가 하나 늘어남에 따라 텁텁함이 강할 수 있으므로

음료는 Big 사이즈가 필수일 듯 해요...


< 빅 맥 버거 세트 >

토마토가 없지만 피클이 대신하고, 빵이 하나 더 있으며 패티는 두 장.

전체적으로, 음료가 없으면 텁텁해요.

느끼한 걸 잘 먹거나, 평소 텁텁함을 적게 느낀다면

빅맥이 전체적으로 적당하다고 생각해요.




< 맥 스파이시 케이준 버거 세트 >


매워 이씨...

좀 덜 맵게 하면 맛날 듯하군요.





----------<<To Be Continued>>----------


미니언 슈비 버거 세트

더블 비프 토마토 치즈 버거 세트

베이컨 토마토 디럭스 버거 세트 (기대하는 중)






참고 링크(1) : 

http://adwareremovaltips.net/post/Steps-To-Remove-PSW.OnlineGames3.AVRA_16_159984.html


간단간단한 분석밖에 하지 않았으나, 조금 더 공부하면서 어떤 기능이 어떻게 이루어지는지 알아내보고 싶어져서 쓰게 되었네요.

일단 간단한 동작부터 알아보지요.

-------<< 간단한 동작 증상 >>-------


1. USB, PSP, SD Card 등에 심어지더군요. 또한 PC Temp에 백업이 되지요.

2. Registry 변조, 삽입.

3. wscript.exe파일로 실행되는 프로그램.

4. 1번에 심어지고, USB나 PSP 등의 모든 파일들은 숨겨지며 바로가기로 변하게 되더군요.

5. avra.vbe를 안티 바이러스 소프트웨어(알약 or Avast)가 감지하여 삭제를 하게 되면 Registry에 있던 명령어가실행되며 백업한 실행파일을 실행한다.

  실행시, Regedit에 명령어 덮어쓰기(새로쓰기), wscript.exe로 avra.vbe를 실행(중복되어 실행됨)


-------<< 비슷한 바이러스 >>-------


증상은 AutoRun 바이러스와 비슷합니다.

참고 링크(2) : http://intumyself.tistory.com/36


-------<< 발전된 바이러스 증상 >>-------


AVRA는 AutoRun 바이러스보다 좀 더 발전한 녀석이었어요.

1. 쉽게 지우지 못하도록 Process를 실행시켜 놓는 점.

2. Registry삽입, Temp Folder 백업.

3. 삭제 감지시 백업된 파일을 실행하여 Registry 실행 및 증상을 복원합니다.(10초 정도 딜레이가 있습니다.)


-------<< REGISTRY 살펴보기 >>-------


Regedit을 살펴보고 삽입 위치를 알아보았습니다.

코드 삽입 위치 : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\

혹은

- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\

- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings

"CertificateRevocation" =Random

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run\

- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\


출처 : 참고 링크(1)




위의 캡처는 AVRA가 삽입한 코드입니다.

다음 명령어를 살펴보면 wscript.exe, 즉 Windows Script Host를 사용하여 해당 route에 어떤 명령을 내리는 것으로 볼 수 있어요.



//B 명령어를 통해 알림을 제거한 채 avra.vbe를 실행한다는 명령어가 삽입되었다는 걸 확인할 수 있어요.

하지만 avra.vbe를 //I 옵션으로 실행해도 알림창은 뜨지 않았어요.



avra.vbe를 실험한 cmd창의 모습입니다.

wscript.exe가 Process에 올라오기는 했지만 저 옵션에서는 아무런 알림창이나 실행 시 변하는 모습은 없었어요.

딱히 Alert창이 뜨지 않는 실행파일인 것 같아요.


-------<< 특이점 >>-------


제가 발견한 감염 경로는 PSP (COWON O2)입니다.

위의 PSP에는 파일들을 업로드 하면 파일들이 어떤 이름이고 어떤 형식인지를 저장한 .system디렉토리가 있습니다.

.dpl이라는 파일은 설정 파일 중 하나인데, .system디렉토리 내에 있으며, 이 파일을 백지화 했습니다.

또한 다른 설정파일들을 마구잡이로 지워놓는 것 같습니다. PSP에서는 더 이상 avi파일이나 mkv파일은 실행되지 않았습니다.


-------<< 치료 방법 >>-------


1. 작업관리자 -> 프로세스 -> wscript.exe를 선택하고 프로세스 끄기.


2. 시작 -> regedit -> 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ -> avra를 삭제.


3. 명령 프롬프트창을 열고 감염된 USB 혹은 PSP의 최상위 경로로 들어감.


4. attrib -r -s -h /s /d *.* 을 치고 엔터.


5. 바로가기 모두 삭제.


6. C:\Users\KKAMI\AppData\Local\Temp\avra.vbe로 들어가 avra.vbe파일 삭제.


7. Avast나 알약이 다운돼 있으면, USB혹은 PSP를 뺐다가 다시 삽입.(아마 Avast가 잡아줄 겁니다.)










오늘 오전 반가이 온 손님은 이녀석이네요.

아직 녹차도 다 마시지 않았지만,

그라비올라가 뭔지 궁금했지요.


"Graviola Tea"


그라비올라 재료로 한 차를 구입하니 병 하나를 주더군요.

오자마자 바로 한 잔 해봤지요.

조금 독특한 건, 다른 차와 다르게 티백 포장지에서도 향이 나더군요.

만큼 차를 타기 전의 티백에서의 향도 강하고.


맛은 약간의 시큼한 느낌을 받으며 향은 고향냄새 느낌이더군요.

풀내음 조금, 구수함 조금, 끝은 약간 향긋함.





Tea Time

참쌀 과자도 사놨겠다.

박스 남아 있던 것도 있겠다.

녹차도 사놨고.

뭣보다 머그컵도 샀겠다.

머그컵에 뚜껑도 있네.

과자도 올려놔야지.

아주 졓아.



+ Recent posts

티스토리툴바