- 바이러스 정보
- 터보백신에서 분석한 바이러스 위협 정보, 보안 통계를 확인할 수 있습니다.
- 이름
- W32/Virut.C
- 바이러스 종류
- Window File Virus
- 실행환경
- Windows
- 증상요약
- W32/Virut.C에 감염되면 시스템에 존재하는 EXE 와 SCR 파일을 찾아 감염을 시킨다.
- 위험등급
- 위험
- 확산방법
- 네트워크, 감염파일실행
- 치료방법
- <span class="style4">터보백신 제품군으로 진단/치료 가능합니다.</span><br>
<br>
- ※ 상세 설명
-
<P><FONT color=#c001cb size=2><STRONG>*감염 경로</STRONG></FONT></P>
<P><STRONG><FONT color=#c001cb size=2></FONT></STRONG></P>
<P><FONT size=2>이 바이러스는 해킹된 특정 웹사이트를 통해서 유포된 것으로 보이며 최근에는 웜이나 다른 악성코드에 결합되어
네트워크를 타고 감염되는 것으로 보인다.</FONT></P>
<P><FONT size=2></FONT></P>
<P><FONT color=#c001cb size=2><STRONG>*증상</STRONG></FONT></P>
<P><STRONG><FONT color=#c001cb size=2></FONT></STRONG></P>
<P><FONT size=2>감염되면 아래와 같은 문자가 포함된 폴더나 파일을 제외한 exe파일은 감염이 된다.</FONT></P>
<P><FONT color=#8c7301 size=2>- WINC<BR>- WCUN<BR>- WC32<BR>- PSTO </FONT></P>
<P><FONT size=2></FONT></P>
<P><FONT size=2>감염된 파일을 실행하면 윈도우 시스템 프로세스인 <FONT color=#8c7301>Winlogon.exe
</FONT>에 자신의 코드를 인젝션 해둔다. </FONT></P>
<P><FONT size=2>아래와 같은 이벤트값을<FONT color=#8c7301>Winlogon.exe</FONT>에 발생 시켜 <FONT
color=#8c7301>Winlogon.exe</FONT>에 중복 인젝션 되는 것을 방지 시킨다.</FONT></P>
<P><FONT color=#8c7301 size=2>-VT_4</FONT></P>
<P><FONT size=2></FONT></P>
<P><FONT size=2>특정 서버로 접속을 시도하며 추가적으로 다른 악성코드의 다운로드를 시도한다.</FONT></P>
<P><FONT color=#8c7301 size=2>-Proxima.ircgalaxy.** (port 65520)</FONT></P>
<P><FONT size=2></FONT></P>
<P><FONT size=2>감염된 파일은 <FONT color=#8c7301>TimeDateStamp </FONT>값이 <FONT
color=#8c7301>0x20202020</FONT>으로 변경하는데 이는 자기 자신이 중복되어 감염되는 것을 방지하기 위한
값이다.</FONT></P>
<P><FONT size=2>또한 다른 바이러스와는 달리 시작점은 그대로 이며 시작점 근처의 임의의 코드를 바이러스가 시작하는 부분으로
호출하도록 변경함으로써 자기 자신을 호출함으로써 진단을 어렵게 만든다.</FONT></P>
<P><FONT size=2>바이러스 시작부분에는 바이러스 본체 부분을 복호화 하는 코드가 있으며 바이러스 본체는 파일 뒤에
위치한다.<BR></FONT></P>
- ※ 예방 및 수동 조치 방법
-
- 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
- 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요
