바이러스 DB

매일 다수의 업데이트를 실시하고 있으며 긴급 악성코드 발생 시 신속하게 추가 업데이트를 실시하고 있습니다.

이름
Trojan-W32/Dropper.1593248
바이러스 종류
Trojan
실행환경
위험등급
긴급
확산방법
네트워크를 통한 복제
증상요약
클라이언트의 원격 서버 연결을 만들고 관리.
치료방법
터보백신 제품군으로 진단/치료 가능합니다. 상세설명  진단/치료방법
※ 상세 설명

감염 증상

클라이언트의 원격 서버 연결을 만들고 관리.

네트워크를 이용한 복제 시도.

원격 코드 실행 취약점을 이용한 웜 바이러스의 특성을 가지고 있음.

방화벽 설정을 수정하여 윈도우 업데이트 서비스 중지 및 보안관련 소프트웨어를 차단.

특정 URL에 연결 IP 주소 얻는 것이 가능.

Autorun 바이러스 감염가능 (autorun.inf 파일 생성가능 있음)

 

생성 된 파일

%system%dfeohcg.dll

 

생성/변경 된 레지스트리

(생성된 키 값은 랜덤)
[HKEY_LOCAL_MACHINE\

 SOFTWARE\Microsoft\

  Windows NT\

    CurrentVersion\

      SvcHost]

Netsvcs= “kogvea

 

[HKEY_LOCAL_MACHINE\

 SYSTEM\

  ControlSet001\

   Enum\

    Root\

     LEGACY_KOGVEA]

[HKEY_LOCAL_MACHINE\

 SYSTEM\

  ControlSet002\

   Enum\

    Root\

     LEGACY_KOGVEA]

[HKEY_LOCAL_MACHINE\

 SYSTEM\

  ControlSet003\

   Enum\

    Root\

     LEGACY_KOGVEA]

[HKEY_LOCAL_MACHINE\

 SYSTEM\

  CurrentControlSet\

   Enum\

    Root\

     LEGACY_KOGVEA]

 

[HKEY_LOCAL_MACHINE\

 SYSTEM\

  CurrentControlSet\

   Services\

    kogvea]

[HKEY_LOCAL_MACHINE\

 SYSTEM\

  ControlSet002\

   Services\

    kogvea]

[HKEY_LOCAL_MACHINE\

 SYSTEM\

  ControlSet003\

   Services\

    kogvea]

 

※ 예방 및 수동 조치 방법

윈도우 보안 패치를 최신 버전으로 유지.


 


주의점


1)     본 처리 방법은 바이러스 생성 된 파일이 dfeohcg.dll로 실시 하였습니다.


2)     본 처리 방법은 Windows XP를 기준으로 만들어 졌습니다.


3)     생성되는 파일 및 레지스트리 키 값은 랜덤인 점에 유의하시기 바랍니다.


4)     캡쳐화면의 그림의 내용은 다를 수 있습니다.


 


 


1.    바이러스 파일 확인


1)     명령 프롬프트 실행합니다.


([시작]-[실행]에서 [cmd] 실행)


 


2)     시스템 폴더에서 숨김파일 속성의 dll파일을 확인 합니다.


(%system% dir/ah)



 


3)     Gmer프로그램을 이용 루트킷 바이러스 확인합니다.


(www.gmer.com 에서 다운로드, 실행을 하면 아래와 같이 확인이 가능합니다.


아래의 그림의 내용과 본 바이러스의 내용은 다릅니다)





 


 


2.    바이러스 처리


1)     레지스트리 편집기를 실행합니다.


([시작]-[실행]에서 [regedit] 실행)


 


2)     Svhost 해당 벨류 삭제를 삭제합니다.


(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHostnetsvcs안에 kogvea 삭제)



 


3)     해당 레지스트리 권한 변경 후 설정변경 합니다.


(레지스트리 권한을 사용자계정을 추가하여 모든권한으로 바꾼 후 해당 레지스트리 설정변경


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kogvea]


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\kogvea]


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\kogvea]


설정 변경 Start = 2  -> Start = 4)


 



         


             4)     재부팅 합니다.


 


5)     시스템 폴더 안의 이상 파일의 속성을 해제한 후 삭제 합니다.


(%system%attrib –s –r –h dfeohcg.dll


%system%del dfeohcg.dll)


 




 


6)     윈도우 업데이트 관련 서비스의 설정합니다.


([시작]-[실행]에서 [services.msc]실행


Automactic Updates Background Intelligent Transfer Service 의 설정)



 



 


 


7)     컴퓨터를 재부팅 합니다. 


8)     윈도우 보안 업데이트를 합니다.


 


 

  • 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
  • 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요
상호 :(주)에브리존 터보백신 | 대표:홍승균|사업자등록번호:220-81-67981
Copyright ⓒEveryzone , Inc. All Rights Reserved.|