바이러스 DB

매일 다수의 업데이트를 실시하고 있으며 긴급 악성코드 발생 시 신속하게 추가 업데이트를 실시하고 있습니다.

이름
Backdoor-W32/IRCBot.25020
바이러스 종류
Backdoor
실행환경
Windows
위험등급
위험
확산방법
네트워크, 보안취약점
증상요약
타켓이 되는 시스템의 정보수집.
치료방법
터보백신 제품군으로 진단/치료 가능합니다.

상세설명  진단/치료방법
※ 상세 설명

 

*감염 경로

네트워크 공유 폴더와, 윈도우 보안패치 헛점등을 이용해서 전파및 설치된다.



*증상

 

-파일 생성

 

Backdoor 실행 되면 윈도우 시스템 폴더에 aguard.dll 라는 파일을 생성한다.

 

윈도우 시스템 폴더

 

95/98/ME

 

C:\Windows\System

 

NT/2000

 

C\WinNT\System32

 

XP

 

Windows\System32

 

 


-레지스트리 등록


감염된 시스템은 자신을 다음과 같이 레지스트리에 등록해 다음 부팅시 실행되도록 조작 한다.


HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\Run


WinDLL (aguard.dll)  =  rundll32.exe 윈도우 시스템\aguard.dll,start

 

 


감염된 시스템은 TCP 임의의 포트를 LISTENING 상태로 열어둔다. (상대로부터 접속을 기다리는 상태)

사용자 몰래 접속 스팸 메일 발송, 애드웨어 설치, 데이터 삭제, 그리고 개인의 컴퓨터 사용 내역을 훔쳐보거나 각종 파일(개인 문서, 기밀 문서 ) 외부로 빼가는 보안상 문제도 발생할 있음

 

백도어로서 동작 하게되면, 다음과 같은 시스템 오동작이 일어날 수 있다.

1.
파일 실행및 삭제

2.
포트감시

3.
키보드 타이핑 내용 저장

4.
파일 다운로드

5. ftp
IRC 서버로 동작가능

6.
시스템 하드웨어 정보 수집


※ 예방 및 수동 조치 방법
  • 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
  • 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요
상호 :(주)에브리존 터보백신 | 대표:홍승균|사업자등록번호:220-81-67981
Copyright ⓒEveryzone , Inc. All Rights Reserved.|