help.com.txt.exe , help.com.exe
무인시스텀입니다.
고객사중에 윈도우 2000 , 2003 서버를 운용하는 고객들이 감염되어 난리도 아니군요
help.com.exe 라는 파일이 iFrame 을 홈페이지에 삽입하고 다니고 있습니다.
삽입되는 iframe주소가 Virdown.com 에서 worldofwar.com 으로 주소가 변경되었더군요.
winnt/system32/spool , mui 폴더 검사해 보세요
숨김파일로도 존재하니 보기옵션 수정해서 확인해 보시기 바랍니다.
NullSession(445 , 139) 으로 주변서버로 마구퍼지고 있습니다.
(netstat -an | findstr 445)
백신프로그램도 실시간으로 차단하진 못합니다.
윈도우 서버관리하시는분들 참고하시기 바랍니다.
cmd로 wwwroot 쪽으로 가셔서 findstr /S /C: iFrame * 검색해 보세요. findstr 옵션이 다양하니 도움말 보시구요. asp , js 파일에 주로 삽입하더군요