2024 정부지원사업 랜섬웨어 대응/예방 정부 지원 사업 - 도입 기회를 놓치지 마세요!!자세히 보기
  • 보안 정보
  • 터보백신에서 알려드리는 최신 보안 이슈 , 보안 관련 정보를 확인할 수 있습니다.
제목
교묘한 웜 바이러스 Svohcst.exe !
등록일
2013-01-31
조회
90277

[그림 1] 작업관리자의 프로세스 화면

혹시 [그림1]에 빨간줄로 그어진 Svchost.exe 프로세스를 보신 적이 있으십니까?
컴퓨터에 대해 관심이 있으신 분이라면 누구나 아실 겁니다.
Svchost.exe 프로세스는 DLL로 실행되는 서비스를 그룹화 하는데 사용되는 프로세스로,보통 4~6개 정도 실행됩니다.

바로 이 프로세스의 이름을 비슷하게 헤서 만든 svohcst.exe가 이 바이러스입니다.
이해가 잘 안 되신다면 다음 [그림2]를 참조해주세요

[그림 2] 프로세스 이름 변경 규칙

이해하시죠? 바로 프로세스의 스펠링에서 ‘C’와 ‘O’ 자를 바꾼겁니다.
이런 장난스러운 이름을 붙여놓는 바이러스는 웜 성격을 가진 바이러스일 확률이 큽니다.



웜 바이러스란?
바이러스 및 악성코드와 비슷하게 사용자에게 피해를 주고자 만든 프로그램입니다.
보통 바이러스와는 다르게 자가복제를 하며, 감염대상을 가지고 있지 않고 감염된 PC의 이메일에
자신을 첨부하여 퍼트리는 방식을 사용하여 전파속도가 굉장히 빠릅니다. 이전에는 인터넷 등의 속도나
시스템에 무리를 주는 정도로 끝났지만 요즘에는 온라인 게임 정보를 빼내어 가거나, 인터넷 뱅킹 정보,
문화상품권 등의 정보를 빼내어갈 목적으로 만들어진 형태의 웜 바이러스도 발견되었습니다.

그렇다면 Svohcst.exe 바이러스는 어떻게 감염될까요?

- Internet Explorer 웹 브라우저 취약점 CVE-2010-0806과 Adobe Flash Player 취약점 CVE-2011-2110을 이용한 악성 스크립트가 동원된 바이러스로서, 취약점을 가진 PC 사용자가 온라인 음악 플레이어 업데이트 또는 사이트 접속 등의 환경을 통해 감염이 이루어 질 수 있습니다.

바이러스 생성 시 생성되는 레지스트리와 파일은 아래와 같습니다.


  1. HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run : Download = 최종 실행 파일 다운로드 경로 ( 해당 파일은 숨김, 시스템 속성입니다 )
  2. h**p://***.8866wg.com:8181/**/dn.exe
    h**p://***.8866wg.com:8181/**/dnf.exe
    h**p://***.8866wg.com:8181/**/lq.exe
    h**p://***.8866wg.com:8181/**/mone.exe
    h**p://***.8866wg.com:8181/**/mxd.exe
    h**p://***.8866wg.com:8181/**/tt.exe
    h**p://***.8866wg.com:8181/**/wow.exe
    h**p://***.8866wg.com:8181/tj/Count.asp?mac=(사용자 Mac Address)

 

위와 같은 프로세스가 실행되면 각각의 프로세스이름을 딴 폴더가 생성되고 숨김,시스템 속성을 지니게 됩니다.
또한, 그 폴더 안에 바로 svohcst.exe가 생성됩니다.

재미있는 사실은 각각의 폴더 속에 들어있는 파일이 특정 게임들의 계정을 탈취하기 위한 목적임을 알 수 있다는 것입니다.

C:\dn\svohcst.exe

드래곤네스트 게임을 해킹할 목적으로 제작된 것으로 추정

C:\dnf\svohcst.exe

던전앤파이터 게임을 해킹할 목적으로 제각된 것으로 추정

C:\lq\svohcst.exe

마비노기 게임을 해킹할 목적으로 제작된 것으로 추정

C:\mone\svohcst.exe

바람의나라 게임을 해킹할 목적으로 제작된 것으로 추정

C:\mxd\svohcst.exe

메이플스토리 게임을 해킹할 목적으로 제작된 것으로 추정

C:\tt\svohcst.exe

리니지 게임을 해킹할 목적으로 제작된 것으로 추정

C:\wow\svohcst.exe

월드오브크래프트 게임을 해킹할 목적으로 제작된 것으로 추정

이와 같이 탈취한 개인정보를 중국 서버로 전송하도록 시스템화 되어있는 바이러스입니다.

svohcst.exe 바이러스를 수동삭제 할 수 있도록 하는 방법은 없을까요?
이 바이러스는 계속해서 활동범위와, 숙주 등을 다르게 감염시키고 감염 시마다 변종 되는 특징을 가지고 있어, 수동삭제가 힘든 바이러스입니다. 아래 대표적인 삭제방법을 기재 하였습니다.

  1. 작업관리자를 실행합니다. ( Ctrl + Alt + Del ) 혹은 작업표시줄에서 오른쪽 마우스 클릭
  2. [프로세스]탭 - Svohcst.exe 오른쪽 마우스 클릭 - 프로세스 끝내기
  3. 검색 창을 띄웁니다.
    ( [시작] - [검색] - [파일 또는 폴더] )

  4. 검색 명은 "svohcst.exe" 로 입력해주시고, [고급옵션] - "시스템 폴더검색" 체크 - "숨긴 파일 및 폴더 검색" 체크 - "하위 폴더 검색" 체크 를 해주시고 [검색]을 클릭합니다.

  5. 검색 된 파일을 모두 삭제합니다.
  6. 터보백신 정밀검사를 진행합니다.

svohcst.exe 바이러스 예방 할 수 있는 방법은 없을까요?
 터보백신이 추천 드리는 예방 방법은 다음과 같습니다.

  1. 윈도우 업데이트를 항상 최신으로 유지합니다.
  2. 플래시 및 자바 업데이트를 최신으로 유지합니다.
  3. 터보백신의 정밀검사를 정기적으로 수행합니다.
  4. 터보백신의 바이러스 패턴 업데이트를 최신으로 유지합니다.
  5. 알려지지 않은 링크의 접속을 자제합니다.
  6. 이메일의 첨부파일을 바로 실행하지 않고, 저장한 뒤 바이러스 검사 후 실행합니다.

그럼, 안전한 컴퓨터 사용 및 인터넷 생활이 되시기 바랍니다. ^^

상호 :(주)에브리존 터보백신 | 대표:홍승균|사업자등록번호:220-81-67981
Copyright ⓒEveryzone , Inc. All Rights Reserved.|