• 악성코드 DB / 바이러스 DB 업데이트 현황
  • 매일 다수의 업데이트를 실시하고 있으며 긴급 악성코드 발생 시 신속하게 추가 업데이트를 실시하고 있습니다.
    자동 엔진 업데이트 기능을 이용하시면 보다 편리하게 업데이트를 받으실 수 있습니다.
이름 Backdoor-W32/Prorat.351276
바이러스 종류 Backdoor 실행환경 Windows
위험등급 위험 확산방법 Explorer, 악성코드
증상요약 다른 악성코드에 의해 전파되며 감염된 시스템은 여러 가지 악성파일들을 생성하며 레지스트리에 등록하여 윈도우 시작 시 자동으로 실행되게 한다.
치료방법 터보백신 제품군으로 진단/치료 가능합니다.

상세설명  진단/치료방법
※ 상세 설명

*감염 경로

사용자가 인터넷에서 파일을 다운로드 하거나 다른 악성코드에서 설치하는 것으로 추정됨



*증상


감염된 시스템은 윈도우 방화벽 종료, 복원 작업 중지등 악의적인 기능을 수행한다.


-
파일 생성

윈도우 폴더에 services.exe라는 파일을 생성한다.

-윈도우 폴더란?

-          윈도우 95/98/ME/XP  - C:\Windows\

-          윈도우 NT/2000       -C:\WinNT\

 

윈도우 시스템 폴더에 winkey.dll(Backdoor-W32/Prorat.245760.C), reginv.dll(Backdoor-W32/Prorat.36864.B), Fservice.exe 라는 파일을 생성한다.

 

-윈도우 시스템 폴더?

-          윈도우 95/98/ME     - C:\Windows\System,

-          윈도우 NT/2000      -C:\WinNT\System32

-          윈도우 XP           - C:\Windows\System32

 

\WINDOWS\system sservice.exe 라는 파일을 생성한다.

 

-레지스트리 등록
 
레지스트리에 다음 value 등록해 윈도우 구동시 자동 실행되도록 만든다.

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
DirectX For Microsoft?Windows =
윈도우 시스템 폴더\fservice.exe


   
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = explorer.exe
윈도우 시스템 폴더\fservice.exe

※ 예방 및 수동 조치 방법
  • 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
  • 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요
이전글 Trojan-W32/Vaklik.174735
다음글 Trojan-W32/AutoRun.103206.B
2018.5.24 목요일
오늘의 보안 지수
맑음
관련제품
기업/개인 유료
개인 무료
  • 터보백신 Lite
  • 전국민이 사랑하는 터보백신의
    라이트버전
TurboVaccine 고객센터개인정보취급방침
Copyright ⓒEveryzone, Inc. All Rights Reserved.