이름

Dropper-W32/Yinwin.49577

바이러스 종류

Trojan

실행환경

windows

증상요약

윈도우 폴더에 rundll32.exe(49,577 byte)을 생성하며, 윈도우 시스템 폴더에 Internet.exe(49,577byte), hzdll.dll, hoo.dll 파일을 생성한다. 익스플로러를 이용할때 전송되는 사용자 계정과 암호를 후킹하여 c:\whboytt1.txt 에 저장, 특정 메일주소로 전송한다.

위험등급

낮음

확산방법

불분명

치료방법

<span class="style4">터보백신 제품군으로 진단/치료 가능합니다.</span><br> <br>  

※ 상세 설명

델파이로 작성되었으며, Dropper-W32/Yinwin.49577 를 실행 하면, 윈도우 폴더(windows 98,me : c:\windows, windows XP: c:\windows, windows 2000: c:\winnt)에 rundll32.exe(49,577 byte)을 생성하며, 윈도우 시스템 폴더(windows 98,me : c:\windows\system, windows XP: c:\windows\system32, windows 2000: c:\winnt\system32) 에 Internet.exe(49,577byte), hzdll.dll, hoo.dll 파일을 생성한다. 윈도우 버전에 따라 hoo.dll 은 windows 98, me 에서 사용되며, hzdll.dll 은 windows XP, 2000 용이다. 그리고 c:\whboytt1.txt 파일은 일반 텍스트로 후킹한 사용자 정보를 저장 하는 파일이다. 해당 파일들이 동작하게 되면 자신을 다음과 같이 레지스트리에 등록 한다. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\run 항목에 Win9x 인 경우 : Runtt1 = c:\Windows\System\Internet.exe Win XP 인경우 : Runtt1 = c:\Windows\System32\Internet.exe Win 2000 인 경우 : Runtt1 = c:\WinNT\System32\Internet.exe 수집된 정보는 *****@163.com 의 메일주소를 수신자로 하고, 발신자 메일주소는 xxx@microsoft.com 으로 대체 한다.

※ 예방 및 수동 조치 방법

• 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
• 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요