바이러스 DB

매일 다수의 업데이트를 실시하고 있으며 긴급 악성코드 발생 시 신속하게 추가 업데이트를 실시하고 있습니다.

이름
Trojan-W32/Berbew.51712
바이러스 종류
Trojan
실행환경
Windows
위험등급
확산방법
증상요약
치료방법
터보백신Ai, 터보백신 Online, 터보백신 2001 제품군으로 치료가능.

치료 후 다음의 보안패치를 수행해 주십시요.

*MS04-013 보안패치

http://www.microsoft.com/korea/technet/security/bulletin/MS04-013.asp


[시작]->Windows Update 메뉴를 이용하여
윈도우 운영체제 자체의 보안패치를 해 주시기 바랍니다.
간편한 패치에 대한 설명은 다음 바이러스칼럼을 확인해 주시기 바랍니다.
http://www.everyzone.com/service/info/content.asp?part=tbl_viruscolumn&id=20&GotoPage=1&block=&number=


보다 자세한 설명은 다음 링크를 확인해 주십시요.
http://www.everyzone.com/service/bbs/faq/content.asp?part=everyzone_faq&menu=0&id=22&GotoPage=3&block=0&number=

상세설명  진단/치료방법
※ 상세 설명
이 트로이얀은 윈도우의 보안취약점(MS04-013)을 이용하여 전파되며,
인터넷 익스플로러를 백그라운드로 실행하여 특정 싸이트에 접근을
시도하게 된다.

[특징]

트로이얀이 실행되면 윈도우의 시스템 폴더(win 2000, NT : c:\Winnt\system32, win XP : c:\windows\system32, win 95/98/me : c:\windows\system)에
xxxxxxxx.exe (51,712 byte, xxxxxxxx:랜덤한 8자리 영문),xxxxxx32.dll(6,145 byte, xxxxxx:랜덤한 6자리 영문), SURF.DAT,파일을 생성한다.

또한, 다음처럼 레지스트를 수정하여 다음 부팅시 실행되도록 조작한다.

HKEY_LOCAL_MACHINE\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32
항목에

(win9x의 경우)
(기본값) = C:\windows\system\xxxxxx32.dll(xxxxxx:랜덤한 6자리 영문)

(win2000, NT의 경우)
(기본값) = C:\winnt\system32\xxxxxx32.dll(xxxxxx:랜덤한 6자리 영문)

(WinXP의 경우)
(기본값) = C:\windows\system32\xxxxxx32.dll(xxxxxx:랜덤한 6자리 영문)

HKEY_CLASSES_ROOT\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32
항목에

(win9x의 경우)
(기본값) = C:\windows\system\xxxxxx32.dll(xxxxxx32:랜덤한 6자리 영문)

(win2000, NT의 경우)
(기본값) = C:\winnt\system32\xxxxxx32.dll(xxxxxx32:랜덤한 6자리 영문)

(WinXP의 경우)
(기본값) = C:\windows\system32\xxxxxx32.dll(xxxxxx32:랜덤한 6자리 영문)

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\ShellServiceObjectDelayLoad
항목에

Web Event Logger = "{79FEACFF-FFCE-815E-A900-316290B5B738}

그리고 다음과 같은 계정을 인터넷 익스플로러를 통해 사용할때 로그인 계정과 암호를 가로채어
윈도우 temp 폴더 (win9x, xp : c:\windows\temp, win2000: c:\winnt\temp)에
HTML 형식의 문서로 저장하게 된다.

.earthlink.
.juno.com
.paypal.com
.yahoo.com
my.juno.com/s/
signin.ebay.
webmail.juno.com

이러한 데이타는 백그라운드로 지속적인 접근을 시도 하는 다음과 같은 싸이트로 보내게 되는 것으로 추정된다.

http://asech<제거>a.ru/index.php
http://color-<제거>ank.ru/index.php
http://cruto<제거>.nu/index.php
http://cruto<제거>.ru/index.php
http://cvv.r<제거>/index.php
http://devx.<제거>m.ru/index.php
http://fetha<제거>d.biz/index.php
http://filese<제거>rch.ru/index.php
http://fuck.r<제거>/index.php
http://golde<제거>sand.ru/index.php
http://hack<제거>rs.lv/index.php
http://lovin<제거>od.host.sk/index.php
http://maza<제거>aka.ru/index.php
http://ros-n<제거>ftbank.ru/index.php
http://trojan.<제거>u/index.php
http://www.<제거>edline.ru/index.php
※ 예방 및 수동 조치 방법
  • 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
  • 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요
상호 :(주)에브리존 터보백신 | 대표:홍승균|사업자등록번호:220-81-67981
Copyright ⓒEveryzone , Inc. All Rights Reserved.|