이름

Backdoor-W32/GrayBird.319666

바이러스 종류

Backdoor

실행환경

Windows

증상요약

null

위험등급

null

확산방법

null

치료방법

터보백신 Ai, 터보백신 2001, 또는 터보백신 Online으로 삭제 가능합니다.  

※ 상세 설명

해당 백도어가 실행 되면, 일반적으로 윈도우 시스템 폴더 (win9x: C:\Windows\System, win XP: C:\Windows\System32, win2000, NT : C:\WinNT\System32) 에 숨김속성으로 scvh0st.exe 파일이 설치된다. 이때 해당 파일이 동작하게 되면 자신을 다음과 같이 레지스트리에 등록되어 다음 부팅시 실행되도록 조작 한다. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\run 항목에 Win XP 인경우 : SVCH0ST = c:\Windows\System32\SVCH0ST.EXE Win2000 인 경우 : SVCH0ST = c:\WinNT\System32\SVCH0ST.exe HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices 항목에 Win XP 인경우 : SVCH0ST? = c:\Windows\System32\SVCH0ST.EXE Win2000 인 경우 : SVCH0ST = c:\WinNT\System32\SVCH0ST.exe HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 항목에 Win XP 인경우 : SVCH0ST = c:\Windows\System32\SVCH0ST.EXE Win2000 인 경우 : SVCH0ST = c:\WinNT\System32\SVCH0ST.exe 또한 이 백도어에 의해서 오픈된 포트에 특정사용자가 접속하여 다음과 같은 현상을 일으킬수 있다. 1. CD-ROM을 열고 닫는다. 2. ftp 서버 설치를 통해서 파일의 입출력 가능 3. 윈도우 설정 변경및 키로거 다운로드, 파일삭제 가능

※ 예방 및 수동 조치 방법

• 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
• 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요