2024 정부지원사업 랜섬웨어 대응/예방 정부 지원 사업 - 도입 기회를 놓치지 마세요!!자세히 보기
  • 바이러스 정보
  • 터보백신에서 분석한 바이러스 위협 정보, 보안 통계를 확인할 수 있습니다.
이름
Trojan-W32/Dropper.1593248
바이러스 종류
Trojan
실행환경
증상요약
클라이언트의 원격 서버 연결을 만들고 관리.
위험등급
긴급
확산방법
네트워크를 통한 복제
치료방법
터보백신 제품군으로 진단/치료 가능합니다. 상세설명  진단/치료방법
※ 상세 설명

감염 증상

클라이언트의 원격 서버 연결을 만들고 관리.

네트워크를 이용한 복제 시도.

원격 코드 실행 취약점을 이용한 웜 바이러스의 특성을 가지고 있음.

방화벽 설정을 수정하여 윈도우 업데이트 서비스 중지 및 보안관련 소프트웨어를 차단.

특정 URL에 연결 IP 주소 얻는 것이 가능.

Autorun 바이러스 감염가능 (autorun.inf 파일 생성가능 있음)

 

생성 된 파일

%system%dfeohcg.dll

 

생성/변경 된 레지스트리

(생성된 키 값은 랜덤)
[HKEY_LOCAL_MACHINE\

 SOFTWARE\Microsoft\

  Windows NT\

    CurrentVersion\

      SvcHost]

Netsvcs= “kogvea

 

[HKEY_LOCAL_MACHINE\

 SYSTEM\

  ControlSet001\

   Enum\

    Root\

     LEGACY_KOGVEA]

[HKEY_LOCAL_MACHINE\

 SYSTEM\

  ControlSet002\

   Enum\

    Root\

     LEGACY_KOGVEA]

[HKEY_LOCAL_MACHINE\

 SYSTEM\

  ControlSet003\

   Enum\

    Root\

     LEGACY_KOGVEA]

[HKEY_LOCAL_MACHINE\

 SYSTEM\

  CurrentControlSet\

   Enum\

    Root\

     LEGACY_KOGVEA]

 

[HKEY_LOCAL_MACHINE\

 SYSTEM\

  CurrentControlSet\

   Services\

    kogvea]

[HKEY_LOCAL_MACHINE\

 SYSTEM\

  ControlSet002\

   Services\

    kogvea]

[HKEY_LOCAL_MACHINE\

 SYSTEM\

  ControlSet003\

   Services\

    kogvea]

 

※ 예방 및 수동 조치 방법

윈도우 보안 패치를 최신 버전으로 유지.

 

주의점

1)     본 처리 방법은 바이러스 생성 된 파일이 dfeohcg.dll로 실시 하였습니다.

2)     본 처리 방법은 Windows XP를 기준으로 만들어 졌습니다.

3)     생성되는 파일 및 레지스트리 키 값은 랜덤인 점에 유의하시기 바랍니다.

4)     캡쳐화면의 그림의 내용은 다를 수 있습니다.

 

 

1.    바이러스 파일 확인

1)     명령 프롬프트 실행합니다.

([시작]-[실행]에서 [cmd] 실행)

 

2)     시스템 폴더에서 숨김파일 속성의 dll파일을 확인 합니다.

(%system% dir/ah)

 

3)     Gmer프로그램을 이용 루트킷 바이러스 확인합니다.

(www.gmer.com 에서 다운로드, 실행을 하면 아래와 같이 확인이 가능합니다.

아래의 그림의 내용과 본 바이러스의 내용은 다릅니다)


 

 

2.    바이러스 처리

1)     레지스트리 편집기를 실행합니다.

([시작]-[실행]에서 [regedit] 실행)

 

2)     Svhost 해당 벨류 삭제를 삭제합니다.

(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHostnetsvcs안에 kogvea 삭제)

 

3)     해당 레지스트리 권한 변경 후 설정변경 합니다.

(레지스트리 권한을 사용자계정을 추가하여 모든권한으로 바꾼 후 해당 레지스트리 설정변경

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kogvea]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\kogvea]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\kogvea]

설정 변경 Start = 2  -> Start = 4)

 

         

             4)     재부팅 합니다.

 

5)     시스템 폴더 안의 이상 파일의 속성을 해제한 후 삭제 합니다.

(%system%attrib –s –r –h dfeohcg.dll

%system%del dfeohcg.dll)

 

 

6)     윈도우 업데이트 관련 서비스의 설정합니다.

([시작]-[실행]에서 [services.msc]실행

Automactic Updates Background Intelligent Transfer Service 의 설정)

 

 

 

7)     컴퓨터를 재부팅 합니다. 

8)     윈도우 보안 업데이트를 합니다.

 

 

  • 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
  • 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요