감염 증상
클라이언트의 원격 서버 연결을 만들고 관리.
네트워크를 이용한 복제 시도.
원격 코드 실행 취약점을 이용한 웜 바이러스의 특성을 가지고 있음.
방화벽 설정을 수정하여 윈도우 업데이트 서비스 중지 및 보안관련 소프트웨어를 차단.
특정 URL에 연결 IP 주소 얻는 것이 가능.
Autorun 바이러스 감염가능 (autorun.inf 파일 생성가능 있음)
생성 된 파일
%system%dfeohcg.dll
생성/변경 된 레지스트리
(생성된 키 값은 랜덤)
[HKEY_LOCAL_MACHINE\
SOFTWARE\Microsoft\
Windows NT\
CurrentVersion\
SvcHost]
Netsvcs= “kogvea”
[HKEY_LOCAL_MACHINE\
SYSTEM\
ControlSet001\
Enum\
Root\
LEGACY_KOGVEA]
[HKEY_LOCAL_MACHINE\
SYSTEM\
ControlSet002\
Enum\
Root\
LEGACY_KOGVEA]
[HKEY_LOCAL_MACHINE\
SYSTEM\
ControlSet003\
Enum\
Root\
LEGACY_KOGVEA]
[HKEY_LOCAL_MACHINE\
SYSTEM\
CurrentControlSet\
Enum\
Root\
LEGACY_KOGVEA]
[HKEY_LOCAL_MACHINE\
SYSTEM\
CurrentControlSet\
Services\
kogvea]
[HKEY_LOCAL_MACHINE\
SYSTEM\
ControlSet002\
Services\
kogvea]
[HKEY_LOCAL_MACHINE\
SYSTEM\
ControlSet003\
Services\
kogvea]
윈도우 보안 패치를 최신 버전으로 유지.
주의점
1) 본 처리 방법은 바이러스 생성 된 파일이 dfeohcg.dll로 실시 하였습니다.
2) 본 처리 방법은 Windows XP를 기준으로 만들어 졌습니다.
3) 생성되는 파일 및 레지스트리 키 값은 랜덤인 점에 유의하시기 바랍니다.
4) 캡쳐화면의 그림의 내용은 다를 수 있습니다.
1. 바이러스 파일 확인
1) 명령 프롬프트 실행합니다.
([시작]-[실행]에서 [cmd] 실행)
2) 시스템 폴더에서 숨김파일 속성의 dll파일을 확인 합니다.
(%system% dir/ah)
3) Gmer프로그램을 이용 루트킷 바이러스 확인합니다.
(www.gmer.com 에서 다운로드, 실행을 하면 아래와 같이 확인이 가능합니다.
아래의 그림의 내용과 본 바이러스의 내용은 다릅니다)
2. 바이러스 처리
1) 레지스트리 편집기를 실행합니다.
([시작]-[실행]에서 [regedit] 실행)
2) Svhost 해당 벨류 삭제를 삭제합니다.
(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost의 netsvcs안에 kogvea 삭제)
3) 해당 레지스트리 권한 변경 후 설정변경 합니다.
(레지스트리 권한을 사용자계정을 추가하여 모든권한으로 바꾼 후 해당 레지스트리 설정변경
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kogvea]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\kogvea]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\kogvea]
설정 변경 Start = 2 -> Start = 4)
5) 시스템 폴더 안의 이상 파일의 속성을 해제한 후 삭제 합니다.
(%system%attrib –s –r –h dfeohcg.dll
%system%del dfeohcg.dll)
6) 윈도우 업데이트 관련 서비스의 설정합니다.
([시작]-[실행]에서 [services.msc]실행
Automactic Updates 및 Background Intelligent Transfer Service 의 설정)
7) 컴퓨터를 재부팅 합니다.
8) 윈도우 보안 업데이트를 합니다.
