• 악성코드 DB / 바이러스 DB 업데이트 현황
  • 매일 다수의 업데이트를 실시하고 있으며 긴급 악성코드 발생 시 신속하게 추가 업데이트를 실시하고 있습니다.
    자동 엔진 업데이트 기능을 이용하시면 보다 편리하게 업데이트를 받으실 수 있습니다.
이름 Trojan-W32/Magania.200704.C
바이러스 종류 Trojan 실행환경
위험등급 긴급 확산방법 이동식드라이브
증상요약 백그라운드로 실행하며, 원격 접속을 허용하는 트로이 목마
치료방법

터보백신 제품군으로 진단/치료 가능합니다.

단,  이동식 드라이브를 접속 해제하신 후 실행 하시기 바랍니다 .

 

상세설명  진단/치료방법
※ 상세 설명
백그라운드로 실행하며, 원격 접속을 허용하는 트로이 목마이며,

USB  이동식드라이브 접속 윈도우 오류 메세지 발생.

 

 

파일생성:

%Temp%\105703_fer.temp

%System%\CRESS.com

%System%\NWCWorkstationfd.d11

 

 

레지스트리생성:

[HKEY_LOCAL_MACHINE

 \SOFTWARE

  \Microsoft

   \Windows

    \CurrentVersion

     \policies

      \Explorer

       \Run]

 

[HKEY_LOCAL_MACHINE

 \SYSTEM

  \ControlSet001

   \Enum

    \Root

     \LEGACY_NWCWORKSTATION]

 

[HKEY_LOCAL_MACHINE

 \SYSTEM

  \ControlSet001

   \Services

    \NWCWorkstation]

 

[HKEY_LOCAL_MACHINE

 \SYSTEM

  \CurrentControlSet

   \Enum

    \Root

     \LEGACY_NWCWORKSTATION]

 

[HKEY_LOCAL_MACHINE

 \SYSTEM

  \CurrentControlSet

   \Services

    \NWCWorkstation\Enum]

 

 

레지스트리 삭제:

[HKEY_LOCAL_MACHINE

 \SOFTWARE

  \Microsoft

   \Windows

    \CurrentVersion

     \policies

      \system]

legalnoticecaption = ""

legalnoticetext = ""

 

 

※ 예방 및 수동 조치 방법

이동식 드라이브 사용 시 자동 실행 하시지 마시고, 탐색기를 이용하여 드라이브의 내용을 확인 또는 실행 하시기 바랍니다.


수동 확인


 


1.    [시작]-[실행]-[cmd] 실행



 





 


2.    %System% 에서 dir/ah



 



3.    숨겨진 목록들 CRESS.com NWCWorkstationfd.d11 (기타 NETSVCS_0x0fd.d11, NETSVCS_0x1fd.d11, NETSVCS_0x2fd.d11, NETSVCS_0x3fd.d11, NETSVCS_0x4fd.d11 파일)파일 확인



 



4.    작업관리자에서 CRESS.com 확인





수동 치료 (임시 방편)


 


1.    작업관리자에서 CRESS.com 종료



 



2.    NWCWorkstation 서비스 종료




 



3.    Cmd 브라우저에서 %system% 숨김 속성해제


(Attrib –s –r –h  CRESS.com


Attrib –s –r –h  NWCWorkstationfd.d11


Attrib –s –r –h  NETSVCS_*.d11)



 



4.    Cmd 브라우저에서 %system% 해당파일 삭제


(del CRESS.com


del  NETSVCS_*.d11)




 


5.    [시작]-[실행]-[regedit] 실행




 


6.    해당키 삭제(빨강색 Run 삭제)


([HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]


CRESS = "CRESS.COM") 



      



7.    레지스트리의 키값변경 삭제 (Start = 0x00000002 -> Start = 0x00000004 변경 NWCWorkstation 삭제)


([HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NWCWorkstation]


Start = 0x00000004)         




 



8.    레지스트리의 키값변경 삭제(NETSVCS_0x0관련 삭제)


 ([HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NETSVCS_0x0])




 



9.     Cmd 브라우저에서 %system% 해당파일 삭제 (del  NWCWorkstationfd.d11)




 



삭제 레지 복원


legalnoticecaption = ""


legalnoticetext = "")


1.    [시작]-[실행]-[regedit] 실행




 


2.    삭제 레지스트리 지점 이동


([HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system])




 



3.    해당 문자열 생성


("legalnoticecaption", "legalnoticetext")





        



  • 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
  • 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요
이전글 Trojan-W32/Dropper.1593248
다음글 Backdoor-W32Iroffer.250979
2018.4.24 화요일
오늘의 보안 지수
맑음
관련제품
기업/개인 유료
개인 무료
  • 터보백신 Lite
  • 전국민이 사랑하는 터보백신의
    라이트버전
TurboVaccine 고객센터개인정보취급방침
Copyright ⓒEveryzone, Inc. All Rights Reserved.