이름

Trojan-W32/LineageHack

바이러스 종류

Trojan

실행환경

Windows

증상요약

특정 온라인 게임의 계정 정보를 취합하여 지정된 이메일로 발송된다.

위험등급

보통

확산방법

네트워크, 보안취약성

치료방법

<span class="style4">터보백신 제품군으로 진단/치료 가능합니다.</span><br> <br>  

※ 상세 설명

스스로 전파되는 능력은 없으나 Browser Helper Object 와 윈도우 취약점을 이용 하여 익스플로러에 포함되거나, 웹페이지의 스크립트(iframe 태그이용)에 포함되는 등의 여러가지 전파방법을 사용한다. 특정 온라인 게임의 아이디와 비밀번호 입력시 키보드값을 가로채어 텍스트 파일에 기록, 특정 메일주소로 전송해 일부 개인정보 유출 위험을 내포하고 있다. 또한 윈도우 시스템 폴더(windows 98,me : c:\windows\system, windows XP: c:\windows\system32, windows 2000: c:\winnt\system32) 에서 netble.exe, winzx32.exe, hoo.dll, winwy.exe, Cndll.dll, logo.dll, hzdll.dll, c:\windows 폴더에서 rundll32.exe(49,577 byte),또는 c:\windows 폴더에서 rundll32.exe(49,625 byte), c:\windows\system32 폴더에서 Internat.exe(49,577byte) 등 파일도 다양하게 생성한다. 그리고 다음 처럼 레지스트리를 추가하여 부팅시 자동 실행되게 조작한다. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 항목에 [windows 9x] Runtt1 = C:\windows\system\Internat.exe [windows xp] Runtt1 = C:\windows\system32\Internat.exe [windows 2000] Runtt1 = C:\winnt\system32\Internat.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer\Browser Helper Objects\ 항목에 {1E6918EA-351F-4501-A346-2942144DE626} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{0AB57312-FF76-405E-9013-C6244D31AE2D}\1.0\0\win32 항목에 (기본값) = C:\windows\system32\Syshlp.dll explorer.exe 또는 iexplorer.exe 에 포함되어 실행되기 때문에 터보백신으로 치료시 해당 프로그램의 종료후 치료가 필요하다. 그리고 다음의 링크에서 보안패치를 받아 윈도우운영체제의 업데이트를 실행해야 한다. [MS04-013 취약점] http://www.microsoft.com/korea/technet/security/bulletin/MS04-013.asp [MS05-001 취약점] http://www.microsoft.com/korea/technet/security/bulletin/MS05-001.mspx

※ 예방 및 수동 조치 방법

안전모드로 부팅 하십시요. 안전모드는 컴퓨터 전원을 넣은후 메모리 체크가 끝나면 키보드 버튼중 f8을 몇번 눌러 봅니다. 부팅 메뉴가 나오는데 여기서 safe mode(안전모드)를 선택 하여 부팅 합니다. 우선 윈도우 시스템 폴더(windows 98,me : c:\windows\system, windows XP: c:\windows\system32, windows 2000: c:\winnt\system32) 에서 netble.exe, winzx32.exe, hoo.dll, winwy.exe, Cndll.dll, logo.dll, hzdll.dll 파일을 삭제 하십시요. hzdll.dll 파일은 winwy.exe 파일이 삭제되지 않으면 삭제할수 없습니다. 그리고 c:\windows 폴더에서 rundll32.exe(49,577 byte), 또는 c:\windows 폴더에서 rundll32.exe(49,625 byte), c:\windows\system32 폴더에서 Internat.exe(49,577byte) 파일을 삭제 하십시요. 또는 c:\windows\system32 폴더에서 Internat.exe(49,625byte) 파일을 삭제 하십시요. 비슷한 이름의 정상 파일이 있으므로 크기를 꼭 확인 하십시요. 삭제가 안되는 exe 파일이 있으면 ctrl-alt-del 키를 한꺼번에 누르면 작업관리자가 실행됩니다. 프로세스 탭을 선택 하시고 삭제가 안되는 exe 파일이 실행중인지 확인하십시요. 확인이 되면 선택후 [프로세스 종료] 버튼을 클릭 하십시요. 다음으로 [시작]->실행에서 "msconfig"를 치신후 엔터 시스템 구성유틸리티가 나오면 "시작 프로그램" 탭을 클릭 하여 (windows xp) loadMewy = c:\Windows\System32\winwy.exe Runtt1 = "C:\windows\System32\Internat.exe" "Menet" = "C:\WINDOWS\System32\netble.exe" (windows 98, me 인 경우) loadMewy = c:\Windows\System\winwy.exe Runtt1 = "C:\windows\System\Internat.exe" "Menet" = "C:\WINDOWS\System\netble.exe" 부분이 실행 되는 항목을 찾아 체크를 해제 하신후에 [확인] 버튼을 클릭 하신후 윈도우를 재부팅 하십시요.

• 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
• 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요