2024 정부지원사업 랜섬웨어 대응/예방 정부 지원 사업 - 도입 기회를 놓치지 마세요!!자세히 보기
  • 바이러스 정보
  • 터보백신에서 분석한 바이러스 위협 정보, 보안 통계를 확인할 수 있습니다.
이름
Trojan-W32/Magania.172716
바이러스 종류
Trojan
실행환경
Windows
증상요약
원본의 복사본을 생성하며 레지스트리 값을 생성하여 자동으로 실행 되도록 한다. 특정 온라인 게임의 사용자 계정을 훔쳐서 특정 메일주소로 전송하는 트로이목마를 생성함.
위험등급
보통
확산방법
Explorer,악성코드
치료방법
터보백신 제품군으로 진단/치료 가능합니다. 상세설명  진단/치료방법
※ 상세 설명

*감염 경로

파일 자체에는 스스로 확산되는 기능은 없으며, 사용자가 인터넷을 통해 메일, 게시판, 자료실 등에서 실행파일을 다운로드 해 실행되는 것으로 추정, 또한 OS나 응용 프로그램의 보안 취약점을 이용하여 유포되기도 하며, 다른 악성코드(, 바이러스, 트로이목마)에서 설치하는 것으로 추정


*증상

- 파일 생성

 

루트 드라이브(c:\,d:\) autorun.inf파일을 생성하고 자기자신을 복사하여 사용자가 루트폴더에 접근시 자동 실행하게 만든다.

윈도우 시스템 폴더에 kva8wr.exe라는 이름으로 자기자신을 복사, uweyiwe0.dll라는 파일을 생성한다. 그리고 uweyiwe0.dll라는 파일을 메모리에 삽입한다.

-윈도우 시스템 폴더란?

-          윈도우 95/98/ME     - C:\Windows\System,

-          윈도우 NT/2000      -C:\WinNT\System32

-          윈도우 XP           - C:\Windows\System32

 

 

- 레지스트리 등록

1. 레지스트리에 다음 값을 추가해 윈도우 시작 자동으로 실행되도록 한다


 HKCU\Software\Microsoft\Windows\CurrentVersion\Run\

 kvasoft=C:\WINDOWS\system32\kva8wr.exe

 

2. 숨김속성의 파일들을 사용자가 보지 못하게 하기 위해 다음과 같이 레지스트리를 수정한다.


 
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
 Hidden = "2"
 ShowSuperHidden = "0"
 HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\
  CheckedValue = "0"

- 해당 트로이안은 실행중인 특정 프로세스에 uweyiwe0.dll강제로 주입 시킨다. 감염된 시스템의 사용자  가 특정 온라인 게임에 접속하여 사용자 아이디와 암호를 입력하면 입력된 정보를 특정 메일 주소로 전송한다.  그리고 루트폴더(c:\ , d:\) autorun.inf파일 자기자신을 복사 생성하여 사용자가 루트 드라이브를 열려고 자동으로 실행시킨다. 또한 다운받은 uweyiwe0.dll 백신으로부터 진단을 피하기 위해 주기적으로 교체되며 교체된 파일은 kva8wr.exe 파일을 교체한다

※ 예방 및 수동 조치 방법
터보백신Ai, 터보백신 Online, 터보백신 2001, , 터보백신IS 제품군으로 치료가능.
  • 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
  • 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요