- 바이러스 정보
- 터보백신에서 분석한 바이러스 위협 정보, 보안 통계를 확인할 수 있습니다.
- 이름
- Backdoor-W32/GrayBird.319666
- 바이러스 종류
- Backdoor
- 실행환경
- Windows
- 증상요약
- null
- 위험등급
- null
- 확산방법
- null
- 치료방법
- 터보백신 Ai, 터보백신 2001, 또는 터보백신 Online으로 삭제 가능합니다.
- ※ 상세 설명
- 해당 백도어가 실행 되면, 일반적으로 윈도우 시스템 폴더
(win9x: C:\Windows\System, win XP: C:\Windows\System32, win2000, NT : C:\WinNT\System32)
에 숨김속성으로 scvh0st.exe 파일이 설치된다.
이때 해당 파일이 동작하게 되면 자신을 다음과 같이 레지스트리에
등록되어 다음 부팅시 실행되도록 조작 한다.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\run
항목에
Win XP 인경우 : SVCH0ST = c:\Windows\System32\SVCH0ST.EXE
Win2000 인 경우 : SVCH0ST = c:\WinNT\System32\SVCH0ST.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
항목에
Win XP 인경우 : SVCH0ST? = c:\Windows\System32\SVCH0ST.EXE
Win2000 인 경우 : SVCH0ST = c:\WinNT\System32\SVCH0ST.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
항목에
Win XP 인경우 : SVCH0ST = c:\Windows\System32\SVCH0ST.EXE
Win2000 인 경우 : SVCH0ST = c:\WinNT\System32\SVCH0ST.exe
또한 이 백도어에 의해서 오픈된 포트에 특정사용자가 접속하여
다음과 같은 현상을 일으킬수 있다.
1. CD-ROM을 열고 닫는다.
2. ftp 서버 설치를 통해서 파일의 입출력 가능
3. 윈도우 설정 변경및 키로거 다운로드, 파일삭제 가능
- ※ 예방 및 수동 조치 방법
-
- 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
- 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요
