• 악성코드 DB / 바이러스 DB 업데이트 현황
  • 매일 다수의 업데이트를 실시하고 있으며 긴급 악성코드 발생 시 신속하게 추가 업데이트를 실시하고 있습니다.
    자동 엔진 업데이트 기능을 이용하시면 보다 편리하게 업데이트를 받으실 수 있습니다.
이름 W32/WhBoy.C
바이러스 종류 Window File Virus 실행환경 Windows
위험등급 위험 확산방법 네트워크, 악성코드
증상요약 W32/WhBoy.C 에 감염되면 시스템폴더를 제외한 exe파일은 감염이 되며
, 감염된 디렉토리안에 desktop_.ini를 생성한다.
치료방법 터보백신 제품군으로 진단/치료 가능합니다.

상세설명  진단/치료방법
※ 상세 설명

*감염 경로

네트워크 공유를 통해서 전파된다.

 


*증상

감염되면 시스템폴더를 제외한 exe파일은 감염이 되며, 감염된 디렉토리안에 desktop_.ini를 생성한다.  

또한 시스템 폴더에 자신을 복제하며 레지스터리에 등록하여 재부팅시 자동 실행되도록 한다.

그리고 정상 HTML 문서에 iframe 삽입하여 악성코드를 다운로드한다.

 

-파일 생성

 

윈도우 시스템 폴더\drivers\ 폴더에 spoclsv.exe라는 파일을 생성한다.

        -윈도우 시스템 폴더란?

-          윈도우 95/98/ME/XP  - C:\Windows\System,

-          윈도우 NT/2000      -C:\WinNT\System32

-          윈도우 XP           - C:\Windows\System32

       

-레지스트리 등록 

 

레지스트리에 다음 value 등록해 윈도우 구동시 자동 실행되도록 만든다.  

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
svcshare =
윈도우 시스템 폴더\drivers\spoclsv.exe

 

-다음 레지스트리값 변경

아래 레지스트리값을 변경하여 숨김 파일을 없게 만든다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

CheckedValue=0

 

-레지스트리 삭제

아래에 해당하는 레지스트리 키를 삭제한다.

sharedaccess
RsCCenter RsRavMon KVWSC
KVSrvXP
kavsvc
McAfeeFramework
McShield
McTaskManager
McAfeeFramework
McShield
McTaskManager
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc

SOFTWARE\
Microsoft\Windows\CurrentVersion\Run\RavTask

SOFTWARE\
Microsoft\Windows\CurrentVersion\R
un\KvMonXP

SOFTWARE\Microsoft\Windows\CurrentVersion\Run
kav

SOFTWARE\Microsoft\Windows\CurrentVersion\Run
KAVPersonal50

SOFTWARE\Microsoft\Windows\CurrentVersion\Run
McAfeeUpdaterUI

SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Network Associates Error Reporting Service

SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ShStatEXE

SOFTWARE\Microsoft\Windows\CurrentVersion\Run
YLive.exe

SOFTWARE\Microsoft\Windows\CurrentVersion\Run
yassistse


-프로세스 종료


다음 실행 중인 프로세스를 강제 종료 시킨다.

Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe

-파일 다운로드

아래의 파일을 다운로드한 뒤   윈도우 시스템 폴더에 저장 한다.


- cimemli.exe
- cimemost.dll
- dllf.dll

※ 예방 및 수동 조치 방법
  • 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
  • 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요
목록보기
이전글 W32/Virut.A
다음글 Trojan-W32/Nilage.6656