- 바이러스 정보
- 터보백신에서 분석한 바이러스 위협 정보, 보안 통계를 확인할 수 있습니다.
- 이름
- Trojan-W32/Berbew.51712
- 바이러스 종류
- Trojan
- 실행환경
- Windows
- 증상요약
- null
- 위험등급
- null
- 확산방법
- null
- 치료방법
- 터보백신Ai, 터보백신 Online, 터보백신 2001 제품군으로 치료가능. <br>
<br>
치료 후 다음의 보안패치를 수행해 주십시요.<br>
<br>
*MS04-013 보안패치<br>
<br>
<a href="http://www.microsoft.com/korea/technet/security/bulletin/MS04-013.asp"><font
color="blue">http://www.microsoft.com/korea/technet/security/bulletin/MS04-013.asp</font></a><br><br>
<br>
[시작]->Windows Update 메뉴를 이용하여
<br>
윈도우 운영체제 자체의 보안패치를 해 주시기 바랍니다.
<br>
간편한 패치에 대한 설명은 다음 바이러스칼럼을 확인해 주시기 바랍니다.
<br>
<a href="http://www.everyzone.com/service/info/content.asp?part=tbl_viruscolumn&id=20&GotoPage=1&block=&number="><font
color="blue">http://www.everyzone.com/service/info/content.asp?part=tbl_viruscolumn&id=20&GotoPage=1&block=&number=</font></a><br><br>
<br>
보다 자세한 설명은 다음 링크를 확인해 주십시요.
<br>
<a href="http://www.everyzone.com/service/bbs/faq/content.asp?part=everyzone_faq&menu=0&id=22&GotoPage=3&block=0&number="><font
color="blue">http://www.everyzone.com/service/bbs/faq/content.asp?part=everyzone_faq&menu=0&id=22&GotoPage=3&block=0&number=</font></a><br><br>
- ※ 상세 설명
- 이 트로이얀은 윈도우의 보안취약점(MS04-013)을 이용하여 전파되며,
인터넷 익스플로러를 백그라운드로 실행하여 특정 싸이트에 접근을
시도하게 된다.
[특징]
트로이얀이 실행되면 윈도우의 시스템 폴더(win 2000, NT : c:\Winnt\system32, win XP : c:\windows\system32, win 95/98/me : c:\windows\system)에
xxxxxxxx.exe (51,712 byte, xxxxxxxx:랜덤한 8자리 영문),xxxxxx32.dll(6,145 byte, xxxxxx:랜덤한 6자리 영문), SURF.DAT,파일을 생성한다.
또한, 다음처럼 레지스트를 수정하여 다음 부팅시 실행되도록 조작한다.
HKEY_LOCAL_MACHINE\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32
항목에
(win9x의 경우)
(기본값) = C:\windows\system\xxxxxx32.dll(xxxxxx:랜덤한 6자리 영문)
(win2000, NT의 경우)
(기본값) = C:\winnt\system32\xxxxxx32.dll(xxxxxx:랜덤한 6자리 영문)
(WinXP의 경우)
(기본값) = C:\windows\system32\xxxxxx32.dll(xxxxxx:랜덤한 6자리 영문)
HKEY_CLASSES_ROOT\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32
항목에
(win9x의 경우)
(기본값) = C:\windows\system\xxxxxx32.dll(xxxxxx32:랜덤한 6자리 영문)
(win2000, NT의 경우)
(기본값) = C:\winnt\system32\xxxxxx32.dll(xxxxxx32:랜덤한 6자리 영문)
(WinXP의 경우)
(기본값) = C:\windows\system32\xxxxxx32.dll(xxxxxx32:랜덤한 6자리 영문)
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\ShellServiceObjectDelayLoad
항목에
Web Event Logger = "{79FEACFF-FFCE-815E-A900-316290B5B738}
그리고 다음과 같은 계정을 인터넷 익스플로러를 통해 사용할때 로그인 계정과 암호를 가로채어
윈도우 temp 폴더 (win9x, xp : c:\windows\temp, win2000: c:\winnt\temp)에
HTML 형식의 문서로 저장하게 된다.
.earthlink.
.juno.com
.paypal.com
.yahoo.com
my.juno.com/s/
signin.ebay.
webmail.juno.com
이러한 데이타는 백그라운드로 지속적인 접근을 시도 하는 다음과 같은 싸이트로 보내게 되는 것으로 추정된다.
http://asech<제거>a.ru/index.php
http://color-<제거>ank.ru/index.php
http://cruto<제거>.nu/index.php
http://cruto<제거>.ru/index.php
http://cvv.r<제거>/index.php
http://devx.<제거>m.ru/index.php
http://fetha<제거>d.biz/index.php
http://filese<제거>rch.ru/index.php
http://fuck.r<제거>/index.php
http://golde<제거>sand.ru/index.php
http://hack<제거>rs.lv/index.php
http://lovin<제거>od.host.sk/index.php
http://maza<제거>aka.ru/index.php
http://ros-n<제거>ftbank.ru/index.php
http://trojan.<제거>u/index.php
http://www.<제거>edline.ru/index.php
- ※ 예방 및 수동 조치 방법
-
- 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
- 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요
