2024 정부지원사업 랜섬웨어 대응/예방 정부 지원 사업 -
도입 기회를 놓치지 마세요!!
자세히 보기
- 바이러스 정보
- 터보백신에서 분석한 바이러스 위협 정보, 보안 통계를 확인할 수 있습니다.
- 이름
- W32/Ratos.27136@mm
- 바이러스 종류
- Worm
- 실행환경
- Windows
- 증상요약
- null
- 위험등급
- null
- 확산방법
- null
- 치료방법
- 터보백신 Ai, 터보백신 2001 또는 터보백신 Online으로 치료
가능 합니다.
- ※ 상세 설명
- 이 웜은 비주얼 C++ 로 작성되었고, UPX 로 압축되 있으며 이메일로 전파된다.
[메일 제목]
photos
[메일 내용]
LOL!;))))
[첨부파일]
photos_arc.exe
[특징]
웜이 실행 되면 윈도우 시스템 폴더(win 2000, NT : c:\Winnt\system32, Win XP : c;\windows\sytem32))에
winpsd.exe(27,136 byte), dx32hhec.sys(4,096 byte), dx32hhlp.exe(139,776 byte), dx32hhconf.ini(1,345 byte) 와
윈도우 폴더((win 2000, NT : c:\Winnt, Win XP : c;\windows) rasor38a.dll(27,136 byte), winvpn32.exe (139,776 byte) 를 생성한다.
웜은 자체 SMTP를 이용하여 감염된 파일이 첨부된 이메일을 전송한다.
메일주소는 다음과 같은 확장자를 가진 파일에서 추출한다.
adb
asp
dbx
htm
php
pl
sht
tbb
txt
wab
그리고 윈도우의 hosts 파일을 다음과 같이 변경하여 해당 웹서버로의 접근을 차단한다.
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.trendmicro.com
또한 다음처럼 레지스트를 수정하여 다음 부팅시 실행되도록 조작한다.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\run
항목에
(win2000, NT의 경우)
winpsd = C:\WINNT\System32\winpsd.exe
(WinXP의 경우)
winpsd = C:\Windows\System32\winpsd.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dx32hhec
항목에
ImagePath = system32\dx32hhec.sys
특히 dx32hhec.sys와 dx32help.exe 파일은 은폐기법을 사용하여
해당 파일을 윈도우 탐색기등으로 확인 할 수 없다.
- ※ 예방 및 수동 조치 방법
-
- 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
- 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요