이름

Trojan-W32/AgentRootKit.7168

바이러스 종류

Trojan

실행환경

Windows

증상요약

타켓이 되는 Bot류나 Worm류, 광고성프로그램의 은폐

위험등급

낮음

확산방법

네트워크

치료방법

<span class="style4">터보백신 제품군으로 진단/치료 가능합니다.</span><br> <br>  

※ 상세 설명

윈도우의 시스템 폴더에 Bot류와 광고성 배포 프로그램등으로 설치된다. 해당 트로이얀이 실행 되면, 일반적으로 윈도우 시스템 폴더 (win9x: C:\Windows\System, win XP: C:\Windows\System32, win2000, NT : C:\WinNT\System32) 에 RDRIV.SYS 또는 hpdriver.sys, orans.sys, et54fg.sys 파일이 설치된다. 배포되는 trojan의 변종에 따라 위의 파일들이 선택되며, 알려진 Trojan 은 MCSECURE.EXE, ntfsprotect.exe 등이다. 이때 해당 파일이 동작하게 되면 자신을 다음과 같이 레지스트리에 등록되어 다음 부팅시 실행되도록 조작 한다. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rdriv 항목에 (windows xp 의 경우) ImagePath = C:\Windows\system32\Hpdriver.SYS (windows NT, 2000 의 경우) ImagePath = C:\WinNT\system32\Hpdriver.SYS HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mcsecure 항목에 ImagePath = C:\Windows\MCSECURE.EXE DisplayName = Mcsecure 를 생성 한다. 보안패치가 안된 컴퓨터는 감염시 특정 싸이트에서 파일을 다운로드 받을 수 있으므로 다음 보안패치를 해야 한다. * MS03-007 보안패치(5월 보안패치) http://www.microsoft.com/korea/technet/security/bulletin/MS03-007.asp * MS04-011 보안패치(4월 보안패치) http://www.microsoft.com/korea/technet/security/bulletin/MS04-011.asp

※ 예방 및 수동 조치 방법

• 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
• 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요