(주)에브리존 :: 바이러스 · 악성코드 없는 세상

보안IT뉴스

보안권고문

보안Tip

보안처방

보안위협DB 찾기

보안위협DB찾기

목록 |

윗글 |

아랫글

Trojan-W32/Magania.107071

바이러스 종류

Trojan

실행환경

Windows

발견일

2009년05월26일

제작지

불분명

위험등급

보통

확산방법

Explorer,악성코드

바이러스 크기

107071

첨부파일

메일제목

없음

증상요약

원본의 복사본을 생성하며 레지스트리를 생성하여 자동으로 실행 되도록 한다. 다수의 악성코드를 다운로드 및 생성하여 특정 온라인 게임의 계정 정보를 유출하려는 시도를 한다.

치료방법

터보백신 제품군으로 진단/치료 가능합니다.

상세설명

*감염 경로

자체적인 확산기능은 갖고 있지 않으며, 메일의 첨부파일로 유포되거나, 해킹된 웹 사이트를 통해 OS나 응용 프로그램의 보안 취약점을 이용하여 유포되기도한다.
또한 이동식 저장장치의 autorun기능을 이용하여 다른 시스템으로 확산되기도 한다.

*증상

- 파일생성

윈도우 시스템 폴더에 다음 파일을 생성한다.

- lhgjyit1.dll

- kacsde.exe

- godert1.dll

시스템 루트폴더에 다음 파일을 생성한다.

- lhgjyit1.dll

- autorun.inf

- 레지스트리 등록

1. 윈도우 시작 시 자동으로 실행되도록 하기 위해 레지스트리키를 생성한다.

- HKEY_USERS\
        Software\
           Microsoft\
                   Windows\
                       CurrentVersion\
                             Run\
- 이   름 : anhtaaa
- 데이터 : (윈도우 시스템 폴더)\kacsde.exe

2. 다음의 레지스트리를 수정하여 숨김 속성의 파일들이 표시되지 않게한다.

- HKEY_LOCAL_MACHINE\
      SOFTWARE\
          Microsoft\
              Windows\
                  CurrentVersion\
                      Explorer\
                          Advanced\
                              Folder\
                                  Hidden\
                                      SHOWALL\

- 이   름 : CheckedValue
- 데이터 : 0x00000000

- 생성된 dll파일들은 실행중인 모든 프로세스에 삽입연동(Injection)하여 동작한다. 특정 온라인 게임의 계정정보를 유출하려는 시도가 주 목적이다.

- 외부의 사이트로부터 또 다른 패스워드 스틸러 악성코드를 다운로드 받는다. 접속하는 사이트는 다음과 같다.

- http://(생략).com/(생략)/(생략).rar

- 드라이브 루트에 autorun.inf파일을 생성하여 사용자가 루트 디렉토리에 접근할 경우 autorun.inf파일이 지정하고 있는 파일이 자동으로 실행된다.
이동식 저장장치를 사용할 경우 해당 이동식 저장장치에도 악성코드가 autorun.inf파일과 함께 복사됨으로써 다른 시스템으로 확산될 수 있다.

예방 및 수동조치방법

터보백신Ai, 터보백신 Online, 터보백신 2001, , 터보백신IS 제품군으로 치료가능.