중국 팝업 페이지 증상 악성코드 주의

 

l  에브리존 서비스 운영팀에 접수된 Sample 파일을 토대로 하여 작성된 기술자료입니다.

l  긴급상황 발생시 고객들이 처리할 수 있도록 작성이 되어 있습니다.

l  보안패치의 중요성을 다시 한번 강조합니다.

l  문서를 받으시는 즉시, 보안패치가 적용되어 있는지 확인하시고, Flash Player 엔진 또한 업데이트 하시기 바랍니다.

l  편리한 MS 보안패치를 위해서 에브리존에서는 패치 유틸리티를 제작해서 제공합니다.

[에브리존Patch] 다운로드

 

 

컴퓨터를 부팅하면 www.3929.cn?tn=102718 이라는 중국사이트로 접속이 되는 현상이 많이 발생하고 있습니다. 이는 악성코드로 인한 현상임을 알려드립니다.

원인은 국내 특정 사이트가 해킹되어, 해킹된 사이트에 접속하는 개인 user를 대상으로 감염시키는 방법으로 유포되고 있습니다.

 

1. 증상

- 인터넷 실행 시 www.3929.cn?tn=102718 사이트로 연결되며, 사이트 접속과 동시에 중국사이트

팝업이 계속 뜸

 

2. 감염 경로

- Flash Player 보안 취약점을 이용하여, 악의적인 웹 사이트나 해킹된 서버를 통해 전파

 

3. 감염 예방을 위한 패치

   (1) 어도비 플래시 플레이어 패치 : 다운로드링크 è http://get.adobe.com/kr/flashplayer/

                                최신 패치 확인! è 10.0.12.36

다운로드시 주의! è Google 툴바 설치를 원하지 않으면 해제!

 

 

 

 

 

 

(2) MS 보안 패치

- MS06-014 : 업데이트 날짜 è 2006년 4월 12일 다운로드링크

- MS08-041 : 업데이트 날짜 è 2008년 10월 16일

                     MS Office 2000 서비스 팩 3 인 경우 : 다운로드링크

                     MS Office XP 서비스 팩 3 인 경우 : 다운로드링크

                     MS Office 2003 서비스 팩 2 및 서비스 팩 3 인 경우 : 다운로드링크

 

4. 치료 가능한 파일

  

[2008년 11월 25일 - 엔진 업데이트 사항] * 중국 악성코드 및 기타 샘플 자료는 지속적으로 업데이트 합니다.   ■ 업데이트 내용   1. 다음 384종 외 다수의 바이러스 패턴이 추가되었습니다.   Adware-W32/BDSearch.53248 Adware-W32/BHO.64705 Adware-W32/BHO.684032 Adware-W32/Cinmus.86016.B Adware-W32/Cinmus.94208.C Adware-W32/Rugo.216064 Adware-W32/WSearch.216064 Dropper-W32/Click.79813 Rootkit-W32/Agent.76800 Trojan-W32/Agent.29440 Trojan-W32/Agent.466944.C Trojan-W32/Agent.6656.Y Trojan-W32/Agent.87040.W Trojan-W32/Agent.9216.S Trojan-W32/Chinaad.86016.B Trojan-W32/DownLoad.98304 Trojan-W32/Downloader.16896.F Trojan-W32/Downloader.25600.E Trojan-W32/Downloader.94208.J Trojan-W32/Krap.115712.J Trojan-W32/Krap.172861 Trojan-W32/Krap.69632.D Trojan-W32/Magania.86016.U Trojan-W32/MulDrop.55249 Trojan-W32/OnLineGames.16896.AN Trojan-W32/OnLineGames.16896.AO Trojan-W32/OnLineGames.27648.AO Trojan-W32/OnLineGames.46592.C Trojan-W32/OnLineGames.94208.D Trojan-W32/Rootkit.33408 Trojan-W32/VB.97792.B ...

 

5. 기술 정보

[대표적인 파일]

(1) C:\Internet Explorer.lnk

속성을 확인하면 아래와 같다.

 

 

C:\Program Files\Internet Explorer 폴더 : 1.exe 2.exe 3.exe 4.exe 5.exe 6.exe 7.exe iedws.exe  외

 

C:\Program Files\Internet Explorer\SIGNUP 폴더 : Conime.exe

 

C:\Windows 폴더 : 7woe.bmp 9993.exe 9999.exe mswmplayer.exe 외

 

C:\Windows\Downloaded Program Files 폴더 : 776b.dll 3b2b.dll 외

(위의 경로의 파일은 도스 프롬프트 창에서만 확인되며, 제거/복사 시 엑세스 거부 메시지가 뜰 수 있다.)

 

C:\Windows\System32 폴더 : 4bcf 4hac.dll 5011325fcc.dll 7ts7.exe 9j14.dll down.dll hf1101.exe

 hf1109.exe Sslsocket.dll test1.exe xunleiBHO11.dll xxxz23.ini

cosa.dll cao110.dll foxwei.exe Bitkv0(1~랜덤).dll 외

 

C:\Windows\System32\Drivers 폴더 : Bilnd.sys

 

C:\Windows\System32\Com\ie.exe

(system32에 있는 정상 ctfmon 파일을 제거 혹은 변형하고,

정상 파일을 위의 위치에 ie.exe 이름으로 넣어둔 듯 하다고 합니다)

 

 

 

[치료 방법]

1. Process Explorer에서 System 항목을 확인한다

 

 

위와 같이 의심되는 sys 파일이 포함되어 있다

파일명은 랜덤하며 예는 아래와 같다

Bilnd.sys (서비스명은 owyng)

Dzyp.sys (서비스명은 suvmv)

Gavtm.sys

Dqlfczc.sys

Ysudfl.sys (서비스명은 jcpcppi 및 mhlj.dll) 외

 

2. 장치관리자에서 해당 sys 파일을 ‘사용안함’ 으로 수정 한다.

3. pc 리부팅

4. sys 파일명을 레지스트리 서비스에서 검색하여, 관련 서비스명 확인하고,

  서비스 값을 ‘4’ 로 수정한다.

5. 각 폴더에서 의심 파일 수집 후 삭제

   특히, System32 폴더에 있는 ctfmon.exe 파일 용량을 확인하고,

   그 크기가 15 KB가 아닐 경우 삭제 하고 ,

   Dllcache 폴더에 있는 ctfmon.exe 파일로 대체한다.

6. 관련 레지스트리 정리

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run 값을 제거한다.

^ 776b (rundll32 "C:\WINDOWS\Downlo~1\776b.dll",Run)

^ HFDF (C:\WINDOWS\system32\hf1109.exe)

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

^Start Page (www.3929.cn?tn=102718) 를 변경한다.

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main

^Start Page (www.3929.cn?tn=102718) 를 변경한다.

 

l 본 정보는 지속적으로 갱신 됩니다.

l 터보백신 다운로드 클릭