2024 정부지원사업 랜섬웨어 대응/예방 정부 지원 사업 - 도입 기회를 놓치지 마세요!!자세히 보기
  • 바이러스 정보
  • 터보백신에서 분석한 바이러스 위협 정보, 보안 통계를 확인할 수 있습니다.
이름
Trojan-W32/Kates.18432
바이러스 종류
Trojan
실행환경
Windows
증상요약
악성코드에 감염된 PC의 경우 부팅 시 검은 화면에 마우스만 뜨며, 더 이상 정상모드 또는 안전모드로 부팅이 진행되지 않는 증상이 나타납니다.
위험등급
긴급
확산방법
Explorer,악성코드
치료방법
터보백신 제품군으로 진단/치료 가능합니다. 상세설명  진단/치료방법
※ 상세 설명

- 파일생성

기존 파일에서 상위 폴더에 랜덤파일.(dat, bak, tmp, old) 확장자의 파일을 생성합니다.

- 레지스트리 생성

   HKEY_LOCAL_MACHINE

        \SOFTWARE

              \MICROSOFT

                    \WINDOWS NT

                           \CurrentVersion

                                \DRIVERS32

   "MIDI9 = 생성경로 및 파일명은 랜덤, 랜덤한 파라미터

 

 위에 작성한 키값으로 인해 부팅 시 악성코드에 의해 생성된 DLL파일을 로드하여 해당 파일이

  정상적으로  로딩되지 않아서 발생하는 문제입니다.

   HKEY_LOCAL_MACHINE

       \SOFTWARE

             \MICROSOFT

                   \WINDOWS NT

                         \CurrentVersion

                               \Windows

     AppInit_DLLs="winmm.dll"와 LoadAppInit_DLLs = 0x1

     을 생성합니다.

※ 예방 및 수동 조치 방법

< 예방 >

1. 터보백신Ai, 터보백신 Online, 터보백신 2001, , 터보백신IS 제품군으로 치료 및 예방가능합니다.

2. 윈도우 보안 패치를 항상 최신버전으로 업데이트합니다.

아래의 업데이트 목록은 해당 악성코드가 삽입된 웹페이지에서 이용한 취약점 리스트 입니다.

- MS Internet Explorer 7 Video ActiveX Remote Buffer Overflow Exploit (MS09-032)
(
http://www.microsoft.com/korea/technet/security/bulletin/MS06-014.mspx)

- Internet Explorer Uninitialized Memory Corruption Vulnerability (MS09-002)
(
http://www.microsoft.com/korea/technet/security/bulletin/MS09-002.mspx)

- Internet Explorer (MDAC) Remote Code Execution Exploit (MS06-014)
(
http://www.microsoft.com/korea/technet/security/bulletin/MS06-014.mspx)

- Microsoft Office Web Components (Spreadsheet) ActiveX BOF (MS09-043)
(http://www.microsoft.com/korea/technet/security/bulletin/ms09-043.mspx)

 

 

수동조치방법 >

1. 감염된 시스템의 하드디스크를 다른 정상 시스템의 Slave로 연결한 후 부팅한다.

2. 정상시스템에서 레지스트리 편집기(regedit.exe)를 실행하여 HKEY_LOCAL_MACHINE

키를 선택한다. 

 

3. 파일(F) -> 하이브 로드(L)을 선택하면 하이브 로드할 수 있는 윈도우 창이 뜬다. 

 

4. 감염된 하드의 WINDOWS\system32\config 에서 software 파일을 선택하고 열기를 클릭한다. 

 

5. 키 이름에 임의의 키를 입력합니다. 

 

  6. 위의 과정을 마치면 부팅이 안되는 시스템의 레지스트리 정보가 로딩되어 진다.

  로딩이 되면 아래 레지스트리 값을 삭제한다. 
   HKEY_LOCAL_MACHINE\[
위에서 지정한 임의의 이름]
       \MICROSOFT

\WINDOWS NT

      \CurrentVersion

           \DRIVERS32\
    "MIDI9 = 생성경로 및 파일명은 랜덤"

 
   7.
하이브 로드시 입력한 임의의 키(HKEY_LOCAL_MACHINE\키 이름)를 선택한 후 하이브 언로드

(파일하이브 언로드)를 한다.

 

8. 언로드가 완료되면 부팅이 안되었던 컴퓨터에 하드디스크를 연결 하신 후 터보백신 제품을 최신버전으로

    업데이트 하신 후 검사 및 치료를 한다.

 

 

 

 

 

 

  • 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
  • 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요