• 악성코드 DB / 바이러스 DB 업데이트 현황
  • 매일 다수의 업데이트를 실시하고 있으며 긴급 악성코드 발생 시 신속하게 추가 업데이트를 실시하고 있습니다.
    자동 엔진 업데이트 기능을 이용하시면 보다 편리하게 업데이트를 받으실 수 있습니다.
이름 Backdoor-W32/VanBot.159232
바이러스 종류 Backdoor 실행환경 Windows
위험등급 위험 확산방법 네트워크, 보안취약점
증상요약 윈도우 취약점을 이용해 전파되며 감염된 시스템은 특정 서버에 접속하여 각종 악의적인 기능을 수행한다.
치료방법 터보백신 제품군으로 진단/치료 가능합니다.

상세설명  진단/치료방법
※ 상세 설명

*감염 경로

아래와 같으나 윈도우 보안 취약점을 이용해 전파 된다.

 

MS03-039 RPC DCOM2 취약점      

http://www.microsoft.com/korea/technet/security/bulletin/MS03-039.asp


MS06-040
서버 서비스의 취약점으로 인한 원격 코드 실행 문제점 http://www.microsoft.com/korea/technet/security/Bulletin/MS06-040.mspx



*증상

-
파일 생성

 

윈도우 시스템 폴더에 wgareg.exe 라는 파일을 생성한다.

 

-윈도우 시스템 폴더?

-          윈도우 95/98/ME/XP  - C:\Windows\System,

-          윈도우 NT/2000          -C:\WinNT\System32

-          윈도우 XP                  - C:\Windows\System32

 

-레지스트리 등록

레지스트리에 다음 value 등록해 윈도우 구동시 자동 실행되도록 만든다.

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WGAREG 


HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\ Services\wgareg 


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
EnableDCOM = "n"


※ 예방 및 수동 조치 방법
  • 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
  • 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요
목록보기
이전글 Backdoor-W32/Prorat.350764
다음글 W32/Warezov.150844@mm