(주)에브리존 :: 바이러스 · 악성코드 없는 세상

보안IT뉴스

보안권고문

보안Tip

보안처방

보안위협DB 찾기

보안위협DB찾기

목록 |

윗글 |

아랫글

Trojan-W32/Ranky.21933

바이러스 종류

Trojan

실행환경

Windows

발견일

2006년04월17일

제작지

불분명

위험등급

보통

확산방법

Explorer, 악성코드

바이러스 크기

21,933 Byte

첨부파일

메일제목

증상요약

Backdoor-W32/Ranky.21933는 트로이 목마로써 Proxy 서버 기능을 수행하며 사용자 몰래 레지스트리에 등록하고 윈도우 시작시 자동 실행되게 한 뒤 악의적인 기능을 수행한다.

치료방법

터보백신 제품군으로 진단/치료 가능합니다.

상세설명

*감염 경로

자제 전파 기능은 없으며, 사용자가 인터넷을 통해 메일, 게시판, 자료실 등에서 실행파일을 다운로드 해 실행되는 것으로 추정, 또한 다른 악성코드에 의해서도 다운로드 되거나 감염됨.

*증상

해당 트로이목마는 Proxy 서버 기능을 수행하며 아래와 같은 일을 수행한다.

-레지스트리 등록

레지스트리에 다음 value를 등록해 윈도우 구동 시 자동 실행되도록 만든다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
" Microsoft(R) Windows DLL Loader” = 실행위치\실행 파일명

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RunDll32
“ ImagePath” = 실행위치\실행 파일명/ service

-사이트 접속

66.***.12*.**3 사이트에 접속을 시도한다.

감염된 시스템은 TCP 임의의 포트를 LISTENING 상태로 열어둔다. (상대로부터 접속을 기다리는 상태)

그 후 사용자 몰래 접속 해 스팸 메일 발송, 애드웨어 설치, 데이터 삭제, 그리고 개인의 컴퓨터 사용 내역을 훔쳐보거나 각종 파일(개인 문서, 기밀 문서 등)을 외부로 빼가는 보안상 문제도 발생할 수 있음

예방 및 수동조치방법