이름

Trojan-W32/Xema.49152

바이러스 종류

Trojan

실행환경

Windows

증상요약

타켓이 되는 시스템의 마우스, 키보드 후킹

위험등급

보통

확산방법

네트워크, 보안취약성

치료방법

<span class="style4">터보백신 제품군으로 진단/치료 가능합니다.</span><br> <br>  

※ 상세 설명

윈도우 폴더에 Bot류와 메신저, 윈도우 보안패치 헛점등을 이용해서 설치된다. 트로이얀이 실행 되면, 일반적으로 윈도우 폴더 (win9x: C:\Windows, win XP: C:\Windows, win2000, NT : C:\WinNT) 에 inertinfo.exe(49,152 byte), kernerl32.dll(32,256 byte), use32.dll(32,256 byte) 파일이 설치된다. 이때 해당 파일이 동작하게 되면 자신을 다음과 같이 레지스트리에 등록되어 다음 부팅시 실행되도록 조작 한다. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run 항목에 (windows 9x, xp) inertinfo.exe = c:\windows\inertinfo.exe (windows 2000, NT) inertinfo.exe = c:\WinNT\inertinfo.exe HKEY_CURENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 항목에 (windows 9x, xp) inertinfo.exe = c:\windows\inertinfo.exe (windows 2000, NT) inertinfo.exe = c:\WinNT\inertinfo.exe 을 생성한다. 그리고 재감염의 우려가 있으므로 다음 보안패치를 권고한다. *MS04-013 : Outlook Express 누적 보안 업데이트(837009) http://www.microsoft.com/korea/technet/security/bulletin/MS04-013.asp *MS05-001 : HTML 도움말의 취약점 보안 업데이트(890175) http://www.microsoft.com/korea/technet/security/bulletin/MS05-001.mspx

※ 예방 및 수동 조치 방법

• 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
• 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요