(주)에브리존 :: 바이러스 · 악성코드 없는 세상

보안IT뉴스

보안권고문

보안Tip

보안처방

보안위협DB 찾기

보안위협DB찾기

목록 |

윗글 |

아랫글

Trojan-W32/Berbew.51712

바이러스 종류

Trojan

실행환경

Windows

발견일

2004년06월22일

제작지

러시아

위험등급

확산방법

바이러스 크기

51,712 bytes

첨부파일

없음

메일제목

없음

증상요약

치료방법

터보백신Ai, 터보백신 Online, 터보백신 2001 제품군으로 치료가능.

치료 후 다음의 보안패치를 수행해 주십시요.

*MS04-013 보안패치

http://www.microsoft.com/korea/technet/security/bulletin/MS04-013.asp

[시작]->Windows Update 메뉴를 이용하여
윈도우 운영체제 자체의 보안패치를 해 주시기 바랍니다.
간편한 패치에 대한 설명은 다음 바이러스칼럼을 확인해 주시기 바랍니다.
http://www.everyzone.com/service/info/content.asp?part=tbl_viruscolumn&id=20&GotoPage=1&block=&number=

보다 자세한 설명은 다음 링크를 확인해 주십시요.
http://www.everyzone.com/service/bbs/faq/content.asp?part=everyzone_faq&menu=0&id=22&GotoPage=3&block=0&number=

상세설명

이 트로이얀은 윈도우의 보안취약점(MS04-013)을 이용하여 전파되며,
인터넷 익스플로러를 백그라운드로 실행하여 특정 싸이트에 접근을
시도하게 된다.

[특징]

트로이얀이 실행되면 윈도우의 시스템 폴더(win 2000, NT : c:\Winnt\system32, win XP : c:\windows\system32, win 95/98/me : c:\windows\system)에
xxxxxxxx.exe (51,712 byte, xxxxxxxx:랜덤한 8자리 영문),xxxxxx32.dll(6,145 byte, xxxxxx:랜덤한 6자리 영문), SURF.DAT,파일을 생성한다.

또한, 다음처럼 레지스트를 수정하여 다음 부팅시 실행되도록 조작한다.

HKEY_LOCAL_MACHINE\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32
항목에

(win9x의 경우)
(기본값) = C:\windows\system\xxxxxx32.dll(xxxxxx:랜덤한 6자리 영문)

(win2000, NT의 경우)
(기본값) = C:\winnt\system32\xxxxxx32.dll(xxxxxx:랜덤한 6자리 영문)

(WinXP의 경우)
(기본값) = C:\windows\system32\xxxxxx32.dll(xxxxxx:랜덤한 6자리 영문)

HKEY_CLASSES_ROOT\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32
항목에

(win9x의 경우)
(기본값) = C:\windows\system\xxxxxx32.dll(xxxxxx32:랜덤한 6자리 영문)

(win2000, NT의 경우)
(기본값) = C:\winnt\system32\xxxxxx32.dll(xxxxxx32:랜덤한 6자리 영문)

(WinXP의 경우)
(기본값) = C:\windows\system32\xxxxxx32.dll(xxxxxx32:랜덤한 6자리 영문)

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\ShellServiceObjectDelayLoad
항목에

Web Event Logger = "{79FEACFF-FFCE-815E-A900-316290B5B738}

그리고 다음과 같은 계정을 인터넷 익스플로러를 통해 사용할때 로그인 계정과 암호를 가로채어
윈도우 temp 폴더 (win9x, xp : c:\windows\temp, win2000: c:\winnt\temp)에
HTML 형식의 문서로 저장하게 된다.

.earthlink.
.juno.com
.paypal.com
.yahoo.com
my.juno.com/s/
signin.ebay.
webmail.juno.com

이러한 데이타는 백그라운드로 지속적인 접근을 시도 하는 다음과 같은 싸이트로 보내게 되는 것으로 추정된다.

http://asech<제거>a.ru/index.php
http://color-<제거>ank.ru/index.php
http://cruto<제거>.nu/index.php
http://cruto<제거>.ru/index.php
http://cvv.r<제거>/index.php
http://devx.<제거>m.ru/index.php
http://fetha<제거>d.biz/index.php
http://filese<제거>rch.ru/index.php
http://fuck.r<제거>/index.php
http://golde<제거>sand.ru/index.php
http://hack<제거>rs.lv/index.php
http://lovin<제거>od.host.sk/index.php
http://maza<제거>aka.ru/index.php
http://ros-n<제거>ftbank.ru/index.php
http://trojan.<제거>u/index.php
http://www.<제거>edline.ru/index.php

예방 및 수동조치방법