보안IT뉴스 보안권고문 보안Tip 보안처방 보안통신 보안용어 보안백신메일 보안캘린더
보안위협DB 찾기
보안칼럼
에브리존 Zip에브리존 See에브리존 FTP

  보안IT뉴스
  보안권고문
  보안Tip
  보안처방
  보안통신
  보안용어
  보안백신메일
  보안캘린더
  보안위협DB찾기
  보안칼럼

   보안위협DB찾기
   
  
 목록 |  윗글 |  아랫글  
Trojan-W32/Dropper.1593248
 바이러스 종류
Trojan
 실행환경
 발견일
0101년01월01일
 제작지
 위험등급
긴급
 확산방법
네트워크를 통한 복제
 바이러스 크기
167765
 첨부파일
 메일제목
  
 증상요약
  클라이언트의 원격 서버 연결을 만들고 관리.
 치료방법

터보백신 제품군으로 진단/치료 가능합니다.

  
 
상세설명

감염 증상

클라이언트의 원격 서버 연결을 만들고 관리.

네트워크를 이용한 복제 시도.

원격 코드 실행 취약점을 이용한 웜 바이러스의 특성을 가지고 있음.

방화벽 설정을 수정하여 윈도우 업데이트 서비스 중지 및 보안관련 소프트웨어를 차단.

특정 URL에 연결 IP 주소 얻는 것이 가능.

Autorun 바이러스 감염가능 (autorun.inf 파일 생성가능 있음)

 

생성 된 파일

%system%dfeohcg.dll

 

생성/변경 된 레지스트리

(생성된 키 값은 랜덤)
[HKEY_LOCAL_MACHINE\

 SOFTWARE\Microsoft\

  Windows NT\

    CurrentVersion\

      SvcHost]

Netsvcs= “kogvea

 

[HKEY_LOCAL_MACHINE\

 SYSTEM\

  ControlSet001\

   Enum\

    Root\

     LEGACY_KOGVEA]

[HKEY_LOCAL_MACHINE\

 SYSTEM\

  ControlSet002\

   Enum\

    Root\

     LEGACY_KOGVEA]

[HKEY_LOCAL_MACHINE\

 SYSTEM\

  ControlSet003\

   Enum\

    Root\

     LEGACY_KOGVEA]

[HKEY_LOCAL_MACHINE\

 SYSTEM\

  CurrentControlSet\

   Enum\

    Root\

     LEGACY_KOGVEA]

 

[HKEY_LOCAL_MACHINE\

 SYSTEM\

  CurrentControlSet\

   Services\

    kogvea]

[HKEY_LOCAL_MACHINE\

 SYSTEM\

  ControlSet002\

   Services\

    kogvea]

[HKEY_LOCAL_MACHINE\

 SYSTEM\

  ControlSet003\

   Services\

    kogvea]

 
 
예방 및 수동조치방법

윈도우 보안 패치를 최신 버전으로 유지.


 


주의점


1)     본 처리 방법은 바이러스 생성 된 파일이 dfeohcg.dll로 실시 하였습니다.


2)     본 처리 방법은 Windows XP를 기준으로 만들어 졌습니다.


3)     생성되는 파일 및 레지스트리 키 값은 랜덤인 점에 유의하시기 바랍니다.


4)     캡쳐화면의 그림의 내용은 다를 수 있습니다.


 


 


1.    바이러스 파일 확인


1)     명령 프롬프트 실행합니다.


([시작]-[실행]에서 [cmd] 실행)


 


2)     시스템 폴더에서 숨김파일 속성의 dll파일을 확인 합니다.


(%system% dir/ah)



 


3)     Gmer프로그램을 이용 루트킷 바이러스 확인합니다.


(www.gmer.com 에서 다운로드, 실행을 하면 아래와 같이 확인이 가능합니다.


아래의 그림의 내용과 본 바이러스의 내용은 다릅니다)





 


 


2.    바이러스 처리


1)     레지스트리 편집기를 실행합니다.


([시작]-[실행]에서 [regedit] 실행)


 


2)     Svhost 해당 벨류 삭제를 삭제합니다.


(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHostnetsvcs안에 kogvea 삭제)



 


3)     해당 레지스트리 권한 변경 후 설정변경 합니다.


(레지스트리 권한을 사용자계정을 추가하여 모든권한으로 바꾼 후 해당 레지스트리 설정변경


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kogvea]


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\kogvea]


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\kogvea]


설정 변경 Start = 2  -> Start = 4)


 



         


             4)     재부팅 합니다.


 


5)     시스템 폴더 안의 이상 파일의 속성을 해제한 후 삭제 합니다.


(%system%attrib –s –r –h dfeohcg.dll


%system%del dfeohcg.dll)


 




 


6)     윈도우 업데이트 관련 서비스의 설정합니다.


([시작]-[실행]에서 [services.msc]실행


Automactic Updates Background Intelligent Transfer Service 의 설정)



 



 


 


7)     컴퓨터를 재부팅 합니다. 


8)     윈도우 보안 업데이트를 합니다.


 


 
무단전재ㆍ배포금지
에브리존에서 제공하는 모든 컨텐츠 정보에 대한 저작권은 에브리존의 소유이며 관련법의 보호를 받습니다.
에브리존의 사전 허가 없이 에브리존 컨텐츠를 무단으로 전재, 배포를 금지되어 있습니다.
이를 위반하는 경우 손해배상의 대상 또는 민.형사상의 법적 소송 대상이 될 수 있습니다.
* 에브리존 정보 이용 문의 : greenking@everyzone.com
 목록