• 악성코드 DB / 바이러스 DB 업데이트 현황
  • 매일 다수의 업데이트를 실시하고 있으며 긴급 악성코드 발생 시 신속하게 추가 업데이트를 실시하고 있습니다.
    자동 엔진 업데이트 기능을 이용하시면 보다 편리하게 업데이트를 받으실 수 있습니다.
이름 Trojan-W32/Kates.18432
바이러스 종류 Trojan 실행환경 Windows
위험등급 긴급 확산방법 Explorer,악성코드
증상요약 악성코드에 감염된 PC의 경우 부팅 시 검은 화면에 마우스만 뜨며, 더 이상 정상모드 또는 안전모드로 부팅이 진행되지 않는 증상이 나타납니다.
치료방법 터보백신 제품군으로 진단/치료 가능합니다. 상세설명  진단/치료방법
※ 상세 설명

- 파일생성

기존 파일에서 상위 폴더에 랜덤파일.(dat, bak, tmp, old) 확장자의 파일을 생성합니다.

- 레지스트리 생성

   HKEY_LOCAL_MACHINE

        \SOFTWARE

              \MICROSOFT

                    \WINDOWS NT

                           \CurrentVersion

                                \DRIVERS32

   "MIDI9 = 생성경로 및 파일명은 랜덤, 랜덤한 파라미터

 

 위에 작성한 키값으로 인해 부팅 시 악성코드에 의해 생성된 DLL파일을 로드하여 해당 파일이

  정상적으로  로딩되지 않아서 발생하는 문제입니다.

   HKEY_LOCAL_MACHINE

       \SOFTWARE

             \MICROSOFT

                   \WINDOWS NT

                         \CurrentVersion

                               \Windows

     AppInit_DLLs="winmm.dll"와 LoadAppInit_DLLs = 0x1

     을 생성합니다.

※ 예방 및 수동 조치 방법


< 예방 >


1. 터보백신Ai, 터보백신 Online, 터보백신 2001, , 터보백신IS 제품군으로 치료 및 예방가능합니다.


2. 윈도우 보안 패치를 항상 최신버전으로 업데이트합니다.


아래의 업데이트 목록은 해당 악성코드가 삽입된 웹페이지에서 이용한 취약점 리스트 입니다.


- MS Internet Explorer 7 Video ActiveX Remote Buffer Overflow Exploit (MS09-032)
(
http://www.microsoft.com/korea/technet/security/bulletin/MS06-014.mspx)


- Internet Explorer Uninitialized Memory Corruption Vulnerability (MS09-002)
(
http://www.microsoft.com/korea/technet/security/bulletin/MS09-002.mspx)


- Internet Explorer (MDAC) Remote Code Execution Exploit (MS06-014)
(
http://www.microsoft.com/korea/technet/security/bulletin/MS06-014.mspx)


- Microsoft Office Web Components (Spreadsheet) ActiveX BOF (MS09-043)
(http://www.microsoft.com/korea/technet/security/bulletin/ms09-043.mspx)


 



 


수동조치방법 >


1. 감염된 시스템의 하드디스크를 다른 정상 시스템의 Slave로 연결한 후 부팅한다.


2. 정상시스템에서 레지스트리 편집기(regedit.exe)를 실행하여 HKEY_LOCAL_MACHINE


키를 선택한다. 



 


3. 파일(F) -> 하이브 로드(L)을 선택하면 하이브 로드할 수 있는 윈도우 창이 뜬다. 



 


4. 감염된 하드의 WINDOWS\system32\config 에서 software 파일을 선택하고 열기를 클릭한다. 



 


5. 키 이름에 임의의 키를 입력합니다. 



 





  6. 위의 과정을 마치면 부팅이 안되는 시스템의 레지스트리 정보가 로딩되어 진다.


  로딩이 되면 아래 레지스트리 값을 삭제한다. 
   HKEY_LOCAL_MACHINE\[
위에서 지정한 임의의 이름]
       \MICROSOFT


\WINDOWS NT


      \CurrentVersion


           \DRIVERS32\
    "MIDI9 = 생성경로 및 파일명은 랜덤"


 
   7.
하이브 로드시 입력한 임의의 키(HKEY_LOCAL_MACHINE\키 이름)를 선택한 후 하이브 언로드


(파일하이브 언로드)를 한다.


 


8. 언로드가 완료되면 부팅이 안되었던 컴퓨터에 하드디스크를 연결 하신 후 터보백신 제품을 최신버전으로


    업데이트 하신 후 검사 및 치료를 한다.


 


 


 


 


 


 

  • 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
  • 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요
이전글 Trojan-W32/Krap.1060352
다음글 Trojan-W32/Magania. 169142
2018.8.16 목요일
오늘의 보안 지수
맑음
관련제품
기업/개인 유료
개인 무료
  • 터보백신 Lite
  • 전국민이 사랑하는 터보백신의
    라이트버전
TurboVaccine 고객센터개인정보취급방침
Copyright ⓒEveryzone, Inc. All Rights Reserved.