이름

Backdoor-W32/Flood.452608

바이러스 종류

Backdoor

실행환경

Win9x, Win2000, NT

증상요약

null

위험등급

null

확산방법

null

치료방법

터보백신 Ai, 터보백신 2001 또는 터보백신 Online으 로 치료가능합니다.  

※ 상세 설명

여러가지 정상적인 유틸리티를 이용하여 실행되는 바 이러스로 최초 Gg.exe파일이 Admin 권한을 가지고 공격대상의 서버 에 연결을 시도한다. 만약 해당 서버에 Flashfxp 그리고 Ws_ftp 프로그램 이 존재 하면 Ocxdll.exe를 복사하여 실행 시키게 되는데, 해당 명 령을 실행 시키기 위 해 Psexec.exe라는 원격 리모트 유틸리티 프로그램을 사용한다. Ocxdll.exe파일은 pklite의 자동 실행 파일 압축되어 있어서 실행 되면 아래의 파일을 생성 한다. winhp32.exe pstor.exe NT32.INI seced.bat ncp.exe mdm.scr BACKUP.BAT psexec.exe kill.exe XVPLL.HLP gates.txt TFT8675 DLL32.HLP DLL32NT.HLP 이때 해당 파일들이 동작하게 되면 자신을 다음과 같 이 레지스트리에 등록 한다. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\run 항목에 Win9x 인 경우 : RunDll32 = c:\Windows\System\taskmngr.exe WinNT 인 경우 : RunDll32 = c:\WinNT\System32 \taskmngr.exe 이때 taskmngr.exe는 최소화 된 창으로 나타났다가 사 라지게 되는데 작업관리창에서 실행 되고 있는 것을 확인 할 수 있 다. 그리고 윈도우 보안 설정에 관련된 레지스트리 값을 변경하며, 60609 포트 를 오픈하고, irc 설정 파일인 dll16.ini 를 생성 하 게 된다. 이후 자체 DB를 이용한 특정 irc 서버로의 접속을 시 도 하게 된다. Microsoft Product Support Services (PSS) 보안팀에 따르면 다음과 같은 파일이 사용자의 PC에서 발견될 경우나 Psexec, Ws_ftp, Flashfxp 유틸리티 를사용할때에는 백신을 사용해보길 권하고 있다. Gg.bat Seced.bat Nt32.ini Ocxdll.exe Psexec Ws_ftp Flashfxp Gates.txt

※ 예방 및 수동 조치 방법

• 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
• 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요