이름

Dropper-W32/Deloder.745989

바이러스 종류

Trojan

실행환경

Win2000

증상요약

null

위험등급

null

확산방법

null

치료방법

터보백신 Ai, 터보백신 2001 또는 터보백신 Online으로 치료 가능 합니다.  

※ 상세 설명

쓰기 권한이 주어진 공유 폴더와 암호가 없이 부팅되는 컴퓨터에서 주로 감염되며, 윈도우 폰트 폴더(c:\Winnt\Fonts)에 explorer.exe, omnithread_rt.dll, VNCHooks.dll 파일을 윈도우 시스템 폴더(c:\Winnt\System32)에 cygwin1.dll, inst.exe, psexec.exe 파일을 숨김 속성으로 생성한다. 최초 윈도우 시스템 폴더(c:\Winnt\System32)에 Dvldr32.exe 파일이 실행 압축된 형식으로 존재 하게 되며 일단 웜이 실행 되면 부팅때마다 바이러스를 실행 하도록 다음과 같이 레지스트리를 조작한다. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 항목에 messnger= C:\Winnt\System32\Dvldr32.exe TaskMan=C:\WINNT\Fonts\rundll32.exe Explorer= C:\Winnt\Fonts\explorer.exe 부팅시 일부 도스창이 나타났다가 사라지는 경우도 있는데 이는 바이러스가 먼저 실행 되고 있는 경우이다. 웜은 다음 폴더에도 자신을 복사해둔다. C$\WINNT\All Users\Start Menu\Programs\Startup C\WINDOWS\Start Menu\Programs\Startup C$\Documents and Settings\All Users\Start Menu\Programs\Startup 또한 다음의 공유드라이브를 삭제한다. - ADMIN$ - C$ - D$ - E$ - F$ - IPC$ 그리고 TCP Port 5800, 5900 번을 열어놓아 원격제어 프로그램 신호가 떨어지면 이를 실행하는 통로를 만들어 놓게 된다.

※ 예방 및 수동 조치 방법

• 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
• 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요