2024 정부지원사업 랜섬웨어 대응/예방 정부 지원 사업 - 도입 기회를 놓치지 마세요!!자세히 보기
  • 바이러스 정보
  • 터보백신에서 분석한 바이러스 위협 정보, 보안 통계를 확인할 수 있습니다.
이름
Trojan-W32/Magania.107071
바이러스 종류
Trojan
실행환경
Windows
증상요약
원본의 복사본을 생성하며 레지스트리를 생성하여 자동으로 실행 되도록 한다. 다수의 악성코드를 다운로드 및 생성하여 특정 온라인 게임의 계정 정보를 유출하려는 시도를 한다.
위험등급
보통
확산방법
Explorer,악성코드
치료방법
터보백신 제품군으로 진단/치료 가능합니다. 상세설명  진단/치료방법
※ 상세 설명

*감염 경로

자체적인 확산기능은 갖고 있지 않으며, 메일의 첨부파일로 유포되거나, 해킹된 웹 사이트를 통해 OS나 응용 프로그램의 보안 취약점을 이용하여 유포되기도한다.
또한 이동식 저장장치의 autorun기능을 이용하여 다른 시스템으로 확산되기도 한다.


*증상

- 파일생성

윈도우 시스템 폴더에 다음 파일을 생성한다.

 - lhgjyit1.dll

 - kacsde.exe

 - godert1.dll

시스템 루트폴더에 다음 파일을 생성한다.

 - lhgjyit1.dll

 - autorun.inf

- 레지스트리 등록

1. 윈도우 시작 시 자동으로 실행되도록 하기 위해 레지스트리키를 생성한다.

- HKEY_USERS\
        Software\
             Microsoft\
                   Windows\
                       CurrentVersion\
                             Run\
-
   : anhtaaa
-
데이터 : (윈도우 시스템 폴더)\kacsde.exe

                                           
2.
다음의 레지스트리를 수정하여 숨김 속성의 파일들이 표시되지 않게한다.

- HKEY_LOCAL_MACHINE\
      SOFTWARE\
          Microsoft\
              Windows\
                  CurrentVersion\
                      Explorer\
                          Advanced\
                              Folder\
                                  Hidden\
                                      SHOWALL\

-
   : CheckedValue
-
데이터 : 0x00000000

-
생성된 dll파일들은 실행중인 모든 프로세스에 삽입연동(Injection)하여 동작한다. 특정 온라인 게임의 계정정보를 유출하려는 시도가 주 목적이다.

-
외부의 사이트로부터 또 다른 패스워드 스틸러 악성코드를 다운로드 받는다. 접속하는 사이트는 다음과 같다.

- http://(
생략).com/(생략)/(생략).rar

-
드라이브 루트에 autorun.inf파일을 생성하여 사용자가 루트 디렉토리에 접근할 경우 autorun.inf파일이 지정하고 있는 파일이 자동으로 실행된다.
이동식 저장장치를 사용할 경우 해당 이동식 저장장치에도 악성코드가 autorun.inf파일과 함께 복사됨으로써 다른 시스템으로 확산될 수 있다.

※ 예방 및 수동 조치 방법
터보백신Ai, 터보백신 Online, 터보백신 2001, , 터보백신IS 제품군으로 치료가능.
  • 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
  • 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요