이름

Trojan-W32/Agent.246975

바이러스 종류

Trojan

실행환경

Windows

증상요약

특정 사이트에서 악성코드를 다운로드하고 시스템 날짜를 임의로 변경하며 시스템에 존재하는 파일의 생성 시간을 변경

위험등급

위험

확산방법

불분명

치료방법

<span class="style4">터보백신 제품군으로 진단/치료 가능합니다.</span><br> <br>  

※ 상세 설명

<P><FONT color=#cc00ff>*증상</FONT> <BR><BR>Trojan-W32/Agent.246975 가 실행되면 윈도우 폴더에 무작위로 폴더를 생성하여 임의의 이름으로 파일을 생성. 자신을 복사한다. </P> <P><BR>- “윈도우 폴더\임의의 폴더\임의의 이름.exe” <BR><FONT color=#ad8e00>- ex) <BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; (windows 9x, xp)&nbsp;<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<FONT color=#92b7d7>inertinfo.exe = c:\windows\ msdownld.tmp\4S0.exe&nbsp;<BR></FONT><BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;(windows 2000, NT) <BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; </FONT><FONT color=#92b7d7>inertinfo.exe = c:\WinNT\ msdownld.tmp\4S0.exe </FONT></P> <P><BR>레지스트리에 자신의 value값을 등록시켜 윈도우 구동 시 Trojan-W32/Agent.246975 가 자동으로 실행되도록 한다. 이때 value 값은 아래와 같이 랜덤 생성된다. </P> <P><BR><FONT color=#ad8e00>-HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\Windows\ CurrentVersion\Run </FONT><BR></P> <P>Ex) </P> <P>8자리 &nbsp;&nbsp; value 값&nbsp;&nbsp;&nbsp; <FONT color=#0162f4>"BEaz4Y3R"&nbsp;</FONT>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &nbsp;&nbsp; = <FONT color=#ad8e00>"윈도우 폴더 \msdownld.tmp\4S0.exe" </FONT><BR>9자리&nbsp; &nbsp; value 값&nbsp;&nbsp;&nbsp; <FONT color=#0162f4>“"EoCmTrTCh"&nbsp;</FONT>&nbsp;&nbsp;&nbsp;&nbsp; &nbsp;&nbsp; &nbsp;= <FONT color=#ad8e00>"윈도우 폴더\ime\1rz.exe"” </FONT><BR>10자리&nbsp; value 값&nbsp;&nbsp;&nbsp;<FONT color=#0162f4>&nbsp;"7QzbugKzLx"&nbsp;&nbsp;&nbsp;</FONT>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &nbsp;&nbsp;= <FONT color=#ad8e00>"윈도우 폴더\shellnew\NYd.exe" <BR></FONT>11자리&nbsp; value값&nbsp;&nbsp;&nbsp;&nbsp; <FONT color=#0162f4>"0Y5l3MhOq9p"&nbsp;&nbsp;</FONT>&nbsp; &nbsp;&nbsp; &nbsp; = <FONT color=#ad8e00>"윈도우 폴더\fonts\AbG8Ed.exe" </FONT><BR>12 자리 value 값&nbsp;&nbsp;&nbsp;&nbsp;<FONT color=#0162f4>"1HGH00VhMHG6"&nbsp;</FONT>&nbsp;&nbsp; &nbsp;= <FONT color=#ad8e00>"윈도우 폴더\cursors\0dF.exe" </FONT><BR>13자리&nbsp; value 값&nbsp;&nbsp; <FONT color=#0162f4>&nbsp;"2Cw8nEKaMMMnh"</FONT> &nbsp;= <FONT color=#ad8e00>"윈도우 폴더\offline web pages\qH2UC.exe" <BR></FONT>14자리 &nbsp;value 값&nbsp;&nbsp;&nbsp;<FONT color=#0162f4> "1C4dXrLa4D4KV0"&nbsp;</FONT>&nbsp;&nbsp;&nbsp;= <FONT color=#ad8e00>"윈도우 폴더\cursors\O5X6.exe" </FONT></P> <P><BR><FONT style="BACKGROUND-COLOR: #ffd2d0">*여기서 윈도우 폴더란 9x,XP 에서는 windows폴더를 뜻하고 2000,NT 에서는 winNT를 뜻한다. <BR>증상) 시스템의 날짜와 파일의 생성 날짜를 랜덤하게 바꾼다. </FONT></P> <P><BR>Ex) 시스템 날짜와 시간이나 파일의 생성 시간을 1980-04-12오후 11:45분 이나 1985-07-12-22 오전 04:33과 같이 무작위로 변경시킴 </P> <P><BR>특정 사이트에 접속하여 사용자 동의 없이 스파이웨어를 다운로드 한다. </P> <P><BR><FONT color=#ad8e00>- time.(생략).com 과 distribute.(생략).com </FONT></P><FONT color=#ad8e00></FONT> <P><BR>이 스파이웨어는 사용자가 인터넷 주소창에 한글 키워드를 입력할 경우, 유명 사이트는 연결되지만 다른 키워드를 입력 할 키워드와 관련된 광고 사이트로 접속 됨. </P> <P><BR>이 스파이웨어는 자사 제품인 스파이 백신에서 <FONT color=#ad8e00>Adware/OnfindSearch </FONT>라는 이름으로 진단/치료 된다. <BR></P>

※ 예방 및 수동 조치 방법

• 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
• 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요