• 악성코드 DB / 바이러스 DB 업데이트 현황
  • 매일 다수의 업데이트를 실시하고 있으며 긴급 악성코드 발생 시 신속하게 추가 업데이트를 실시하고 있습니다.
    자동 엔진 업데이트 기능을 이용하시면 보다 편리하게 업데이트를 받으실 수 있습니다.
이름 Trojan-W32/Vaklik.174735
바이러스 종류 Trojan 실행환경 Windows
위험등급 보통 확산방법 Explorer,악성코드
증상요약 특정 온라인 게임의 사용자 계정을 유출 시키는 트로이 목마를 생성
치료방법 터보백신 제품군으로 진단/치료 가능합니다.

상세설명  진단/치료방법
※ 상세 설명

*감염 경로

파일 자체에는 스스로 확산되는 기능은 없으며, 사용자가 인터넷을 통해 메일, 게시판, 자료실 등에서 실행파일을 다운로드 실행되는 것으로 추정, 또한 다른 악성코드에 의해 인터넷에서 다운로드 되거나 감염되는 것으로 추정


*증상

-파일 생성

 

루트 드라이브(c:\,d:\) autorun.inf파일을 생성하고 자기자신을 복사(bud3.bat)하여 사용자가 루트폴더에 접근시 자동 실행하게 만든다.

윈도우 시스템 폴더에 kxvo.exe 라는 이름으로 자기자신을 복사, ieso0.dll, fool0.dll, fool1.dll 라는 파일을 생성한다. 그리고 fool1.dll 라는 파일을 다운받은 메모리에 삽입한다.

 

-윈도우 시스템 폴더란?

-          윈도우 95/98/ME     - C:\Windows\System,

-          윈도우 NT/2000      -C:\WinNT\System32

-          윈도우 XP           - C:\Windows\System32

 

-레지스트리 등록

레지스트리에 다음 값을 추가해 윈도우 시작 자동으로 실행되도록 한다.

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

kxva=C:\WINDOWS\system32\kxvo.exe 

                 

레지스트리에 다음 값을 추가하여 숨김파일이 보이지 않도록 만든다.

Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL

CheckedValue = 1

- 해당 트로이안은 실행중인 특정 프로세스에 fool1.dll 강제로 주입 시킨다. 감염된 시스템의 사용자가 특정 온라인 게임에 접속하여 사용자 아이디와 암호를 입력하면 입력된 정보를 특정 메일 주소로 전송한다그리고 루트폴더(c:\ , d:\) autorun.inf파일 자기자신을 복사 (bud3.bat)생성하여 사용자가 루트 드라이브를 열려고 자동으로 실행시킨다. 또한 다운받은 fool1.dll 백신으로부터 진단을 피하기 위해 주기적으로 교체되며 교체된 파일은 kavo.exe파일을 교체한다.( 06.16 확인 kavo.exe 파일이 교체되어 새로운 변종을 확인하였음)

※ 예방 및 수동 조치 방법
  • 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
  • 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요
이전글 Trojan-W32/Vaklik.164573
다음글 Backdoor-W32/Prorat.351276
2018.11.13 화요일
오늘의 보안 지수
맑음
관련제품
기업/개인 유료
개인 무료
  • 터보백신 Lite
  • 전국민이 사랑하는 터보백신의
    라이트버전
TurboVaccine 고객센터개인정보취급방침
Copyright ⓒEveryzone, Inc. All Rights Reserved.