이름

Trojan-W32/Berbew.51712

바이러스 종류

Trojan

실행환경

Windows

증상요약

null

위험등급

null

확산방법

null

치료방법

터보백신Ai, 터보백신 Online, 터보백신 2001 제품군으로 치료가능. <br> <br> 치료 후 다음의 보안패치를 수행해 주십시요.<br> <br> *MS04-013 보안패치<br> <br> <a href="http://www.microsoft.com/korea/technet/security/bulletin/MS04-013.asp"><font color="blue">http://www.microsoft.com/korea/technet/security/bulletin/MS04-013.asp</font></a><br><br> <br> [시작]->Windows Update 메뉴를 이용하여 <br> 윈도우 운영체제 자체의 보안패치를 해 주시기 바랍니다. <br> 간편한 패치에 대한 설명은 다음 바이러스칼럼을 확인해 주시기 바랍니다. <br> <a href="http://www.everyzone.com/service/info/content.asp?part=tbl_viruscolumn&id=20&GotoPage=1&block=&number="><font color="blue">http://www.everyzone.com/service/info/content.asp?part=tbl_viruscolumn&id=20&GotoPage=1&block=&number=</font></a><br><br> <br> 보다 자세한 설명은 다음 링크를 확인해 주십시요. <br> <a href="http://www.everyzone.com/service/bbs/faq/content.asp?part=everyzone_faq&menu=0&id=22&GotoPage=3&block=0&number="><font color="blue">http://www.everyzone.com/service/bbs/faq/content.asp?part=everyzone_faq&menu=0&id=22&GotoPage=3&block=0&number=</font></a><br><br>  

※ 상세 설명

이 트로이얀은 윈도우의 보안취약점(MS04-013)을 이용하여 전파되며, 인터넷 익스플로러를 백그라운드로 실행하여 특정 싸이트에 접근을 시도하게 된다. [특징] 트로이얀이 실행되면 윈도우의 시스템 폴더(win 2000, NT : c:\Winnt\system32, win XP : c:\windows\system32, win 95/98/me : c:\windows\system)에 xxxxxxxx.exe (51,712 byte, xxxxxxxx:랜덤한 8자리 영문),xxxxxx32.dll(6,145 byte, xxxxxx:랜덤한 6자리 영문), SURF.DAT,파일을 생성한다. 또한, 다음처럼 레지스트를 수정하여 다음 부팅시 실행되도록 조작한다. HKEY_LOCAL_MACHINE\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32 항목에 (win9x의 경우) (기본값) = C:\windows\system\xxxxxx32.dll(xxxxxx:랜덤한 6자리 영문) (win2000, NT의 경우) (기본값) = C:\winnt\system32\xxxxxx32.dll(xxxxxx:랜덤한 6자리 영문) (WinXP의 경우) (기본값) = C:\windows\system32\xxxxxx32.dll(xxxxxx:랜덤한 6자리 영문) HKEY_CLASSES_ROOT\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32 항목에 (win9x의 경우) (기본값) = C:\windows\system\xxxxxx32.dll(xxxxxx32:랜덤한 6자리 영문) (win2000, NT의 경우) (기본값) = C:\winnt\system32\xxxxxx32.dll(xxxxxx32:랜덤한 6자리 영문) (WinXP의 경우) (기본값) = C:\windows\system32\xxxxxx32.dll(xxxxxx32:랜덤한 6자리 영문) HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\ShellServiceObjectDelayLoad 항목에 Web Event Logger = "{79FEACFF-FFCE-815E-A900-316290B5B738} 그리고 다음과 같은 계정을 인터넷 익스플로러를 통해 사용할때 로그인 계정과 암호를 가로채어 윈도우 temp 폴더 (win9x, xp : c:\windows\temp, win2000: c:\winnt\temp)에 HTML 형식의 문서로 저장하게 된다. .earthlink. .juno.com .paypal.com .yahoo.com my.juno.com/s/ signin.ebay. webmail.juno.com 이러한 데이타는 백그라운드로 지속적인 접근을 시도 하는 다음과 같은 싸이트로 보내게 되는 것으로 추정된다. http://asech<제거>a.ru/index.php http://color-<제거>ank.ru/index.php http://cruto<제거>.nu/index.php http://cruto<제거>.ru/index.php http://cvv.r<제거>/index.php http://devx.<제거>m.ru/index.php http://fetha<제거>d.biz/index.php http://filese<제거>rch.ru/index.php http://fuck.r<제거>/index.php http://golde<제거>sand.ru/index.php http://hack<제거>rs.lv/index.php http://lovin<제거>od.host.sk/index.php http://maza<제거>aka.ru/index.php http://ros-n<제거>ftbank.ru/index.php http://trojan.<제거>u/index.php http://www.<제거>edline.ru/index.php

※ 예방 및 수동 조치 방법

• 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
• 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요