º¸¾ÈIT´º½º º¸¾È±Ç°í¹® º¸¾ÈTip º¸¾Èó¹æ º¸¾ÈÅë½Å º¸¾È¿ë¾î º¸¾È¹é½Å¸ÞÀÏ º¸¾ÈĶ¸°´õ
º¸¾ÈÀ§ÇùDB ã±â
º¸¾ÈÄ®·³
¿¡ºê¸®Á¸ Zip¿¡ºê¸®Á¸ See¿¡ºê¸®Á¸ FTP

  º¸¾ÈIT´º½º
  º¸¾È±Ç°í¹®
  º¸¾ÈTip
  º¸¾Èó¹æ
  º¸¾ÈÅë½Å
  º¸¾È¿ë¾î
  º¸¾È¹é½Å¸ÞÀÏ
  º¸¾ÈĶ¸°´õ
  º¸¾ÈÀ§ÇùDBã±â
  º¸¾ÈÄ®·³

   º¸¾ÈÀ§ÇùDBã±â
   
  
 ¸ñ·Ï |  À­±Û |  ¾Æ·§±Û  
Trojan-W32/Dropper.1593248
 ¹ÙÀÌ·¯½º Á¾·ù
Trojan
 ½ÇÇàȯ°æ
 ¹ß°ßÀÏ
0101³â01¿ù01ÀÏ
 Á¦ÀÛÁö
 À§Çèµî±Þ
±ä±Þ
 È®»ê¹æ¹ý
³×Æ®¿öÅ©¸¦ ÅëÇÑ º¹Á¦
 ¹ÙÀÌ·¯½º Å©±â
167765
 Ã·ºÎÆÄÀÏ
 ¸ÞÀÏÁ¦¸ñ
  
 Áõ»ó¿ä¾à
  Å¬¶óÀ̾ðÆ®ÀÇ ¿ø°Ý ¼­¹ö ¿¬°áÀ» ¸¸µé°í °ü¸®.
 Ä¡·á¹æ¹ý

Åͺ¸¹é½Å Á¦Ç°±ºÀ¸·Î Áø´Ü/Ä¡·á °¡´ÉÇÕ´Ï´Ù.

  
 
»ó¼¼¼³¸í

°¨¿° Áõ»ó

Ŭ¶óÀ̾ðÆ®ÀÇ ¿ø°Ý ¼­¹ö ¿¬°áÀ» ¸¸µé°í °ü¸®.

³×Æ®¿öÅ©¸¦ ÀÌ¿ëÇÑ º¹Á¦ ½Ãµµ.

¿ø°Ý ÄÚµå ½ÇÇà Ãë¾àÁ¡À» ÀÌ¿ëÇÑ ¿ú ¹ÙÀÌ·¯½ºÀÇ Æ¯¼ºÀ» °¡Áö°í ÀÖÀ½.

¹æÈ­º® ¼³Á¤À» ¼öÁ¤ÇÏ¿© À©µµ¿ì ¾÷µ¥ÀÌÆ® ¼­ºñ½º ÁßÁö ¹× º¸¾È°ü·Ã ¼ÒÇÁÆ®¿þ¾î¸¦ Â÷´Ü.

ƯÁ¤ URL¿¡ ¿¬°á IP ÁÖ¼Ò ¾ò´Â °ÍÀÌ °¡´É.

Autorun ¹ÙÀÌ·¯½º °¨¿°°¡´É (autorun.inf ÆÄÀÏ »ý¼º°¡´É ÀÖÀ½)

 

»ý¼º µÈ ÆÄÀÏ

%system%dfeohcg.dll

 

»ý¼º/º¯°æ µÈ ·¹Áö½ºÆ®¸®

(»ý¼ºµÈ Å° °ªÀº ·£´ý)
[HKEY_LOCAL_MACHINE\

 SOFTWARE\Microsoft\

  Windows NT\

    CurrentVersion\

      SvcHost]

Netsvcs= ¡°kogvea¡±

 

[HKEY_LOCAL_MACHINE\

 SYSTEM\

  ControlSet001\

   Enum\

    Root\

     LEGACY_KOGVEA]

[HKEY_LOCAL_MACHINE\

 SYSTEM\

  ControlSet002\

   Enum\

    Root\

     LEGACY_KOGVEA]

[HKEY_LOCAL_MACHINE\

 SYSTEM\

  ControlSet003\

   Enum\

    Root\

     LEGACY_KOGVEA]

[HKEY_LOCAL_MACHINE\

 SYSTEM\

  CurrentControlSet\

   Enum\

    Root\

     LEGACY_KOGVEA]

 

[HKEY_LOCAL_MACHINE\

 SYSTEM\

  CurrentControlSet\

   Services\

    kogvea]

[HKEY_LOCAL_MACHINE\

 SYSTEM\

  ControlSet002\

   Services\

    kogvea]

[HKEY_LOCAL_MACHINE\

 SYSTEM\

  ControlSet003\

   Services\

    kogvea]

 
 
¿¹¹æ ¹× ¼öµ¿Á¶Ä¡¹æ¹ý

À©µµ¿ì º¸¾È ÆÐÄ¡¸¦ ÃֽŠ¹öÀüÀ¸·Î À¯Áö.


 


ÁÖÀÇÁ¡


1)     º» ó¸® ¹æ¹ýÀº ¹ÙÀÌ·¯½º »ý¼º µÈ ÆÄÀÏÀÌ dfeohcg.dll·Î ½Ç½Ã ÇÏ¿´½À´Ï´Ù.


2)     º» ó¸® ¹æ¹ýÀº Windows XP¸¦ ±âÁØÀ¸·Î ¸¸µé¾î Á³½À´Ï´Ù.


3)     »ý¼ºµÇ´Â ÆÄÀÏ ¹× ·¹Áö½ºÆ®¸® Å° °ªÀº ·£´ýÀÎ Á¡¿¡ À¯ÀÇÇϽñ⠹ٶø´Ï´Ù.


4)     ĸÃÄÈ­¸éÀÇ ±×¸²ÀÇ ³»¿ëÀº ´Ù¸¦ ¼ö ÀÖ½À´Ï´Ù.


 


 


1.    ¹ÙÀÌ·¯½º ÆÄÀÏ È®ÀÎ


1)     ¸í·É ÇÁ·ÒÇÁÆ® ½ÇÇàÇÕ´Ï´Ù.


([½ÃÀÛ]-[½ÇÇà]¿¡¼­ [cmd] ½ÇÇà)


 


2)     ½Ã½ºÅÛ Æú´õ¿¡¼­ ¼û±èÆÄÀÏ ¼Ó¼ºÀÇ dllÆÄÀÏÀ» È®ÀÎ ÇÕ´Ï´Ù.


(%system% dir/ah)



 


3)     GmerÇÁ·Î±×·¥À» ÀÌ¿ë ·çƮŶ ¹ÙÀÌ·¯½º È®ÀÎÇÕ´Ï´Ù.


(www.gmer.com ¿¡¼­ ´Ù¿î·Îµå, ½ÇÇàÀ» ÇÏ¸é ¾Æ·¡¿Í °°ÀÌ È®ÀÎÀÌ °¡´ÉÇÕ´Ï´Ù.


¾Æ·¡ÀÇ ±×¸²ÀÇ ³»¿ë°ú º» ¹ÙÀÌ·¯½ºÀÇ ³»¿ëÀº ´Ù¸¨´Ï´Ù)





 


 


2.    ¹ÙÀÌ·¯½º ó¸®


1)     ·¹Áö½ºÆ®¸® ÆíÁý±â¸¦ ½ÇÇàÇÕ´Ï´Ù.


([½ÃÀÛ]-[½ÇÇà]¿¡¼­ [regedit] ½ÇÇà)


 


2)     Svhost ÇØ´ç º§·ù »èÁ¦¸¦ »èÁ¦ÇÕ´Ï´Ù.


(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHostÀÇ netsvcs¾È¿¡ kogvea »èÁ¦)



 


3)     ÇØ´ç ·¹Áö½ºÆ®¸® ±ÇÇÑ º¯°æ ÈÄ ¼³Á¤º¯°æ ÇÕ´Ï´Ù.


(·¹Áö½ºÆ®¸® ±ÇÇÑÀ» »ç¿ëÀÚ°èÁ¤À» Ãß°¡ÇÏ¿© ¸ðµç±ÇÇÑÀ¸·Î ¹Ù²Û ÈÄ ÇØ´ç ·¹Áö½ºÆ®¸® ¼³Á¤º¯°æ


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kogvea]


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\kogvea]


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\kogvea]


¼³Á¤ º¯°æ Start = 2  -> Start = 4)


 



         


             4)     ÀçºÎÆà ÇÕ´Ï´Ù.


 


5)     ½Ã½ºÅÛ Æú´õ ¾ÈÀÇ ÀÌ»ó ÆÄÀÏÀÇ ¼Ó¼ºÀ» ÇØÁ¦ÇÑ ÈÄ »èÁ¦ ÇÕ´Ï´Ù.


(%system%attrib –s –r –h dfeohcg.dll


%system%del dfeohcg.dll)


 




 


6)     À©µµ¿ì ¾÷µ¥ÀÌÆ® °ü·Ã ¼­ºñ½ºÀÇ ¼³Á¤ÇÕ´Ï´Ù.


([½ÃÀÛ]-[½ÇÇà]¿¡¼­ [services.msc]½ÇÇà


Automactic Updates ¹× Background Intelligent Transfer Service ÀÇ ¼³Á¤)



 



 


 


7)     ÄÄÇ»Å͸¦ ÀçºÎÆà ÇÕ´Ï´Ù. 


8)     À©µµ¿ì º¸¾È ¾÷µ¥ÀÌÆ®¸¦ ÇÕ´Ï´Ù.


 


 
¹«´ÜÀüÀç¤ý¹èÆ÷±ÝÁö
¿¡ºê¸®Á¸¿¡¼­ Á¦°øÇÏ´Â ¸ðµç ÄÁÅÙÃ÷ Á¤º¸¿¡ ´ëÇÑ ÀúÀÛ±ÇÀº ¿¡ºê¸®Á¸ÀÇ ¼ÒÀ¯ÀÌ¸ç °ü·Ã¹ýÀÇ º¸È£¸¦ ¹Þ½À´Ï´Ù.
¿¡ºê¸®Á¸ÀÇ »çÀü Çã°¡ ¾øÀÌ ¿¡ºê¸®Á¸ ÄÁÅÙÃ÷¸¦ ¹«´ÜÀ¸·Î ÀüÀç, ¹èÆ÷¸¦ ±ÝÁöµÇ¾î ÀÖ½À´Ï´Ù.
À̸¦ À§¹ÝÇÏ´Â °æ¿ì ¼ÕÇعè»óÀÇ ´ë»ó ¶Ç´Â ¹Î.Çü»ç»óÀÇ ¹ýÀû ¼Ò¼Û ´ë»óÀÌ µÉ ¼ö ÀÖ½À´Ï´Ù.
* ¿¡ºê¸®Á¸ Á¤º¸ ÀÌ¿ë ¹®ÀÇ : greenking@everyzone.com
 ¸ñ·Ï