에브리존소개 | 제품소개 | 고객센터 | 사이트맵 | Home
개인고객 여성고객 e보안마켓 이벤트
개인고객기업고객
보안접속 ID저장
AD 무료로 책받아가세요!


 목록 |  윗글 |  아랫글  
Trojan-W32/Kates.18432
 바이러스 종류
Trojan
 실행환경
Windows
 발견일
2009년10월19일
 제작지
불분명
 위험등급
긴급
 확산방법
Explorer,악성코드
 바이러스 크기
18432
 첨부파일
 메일제목
  없음
 증상요약
  악성코드에 감염된 PC의 경우 부팅 시 검은 화면에 마우스만 뜨며, 더 이상 정상모드 또는 안전모드로 부팅이 진행되지 않는 증상이 나타납니다.
 치료방법

터보백신 제품군으로 진단/치료 가능합니다.

  
 
상세설명

- 파일생성

기존 파일에서 상위 폴더에 랜덤파일.(dat, bak, tmp, old) 확장자의 파일을 생성합니다.

- 레지스트리 생성

   HKEY_LOCAL_MACHINE

        \SOFTWARE

              \MICROSOFT

                    \WINDOWS NT

                           \CurrentVersion

                                \DRIVERS32

   "MIDI9 = 생성경로 및 파일명은 랜덤, 랜덤한 파라미터

 

 위에 작성한 키값으로 인해 부팅 시 악성코드에 의해 생성된 DLL파일을 로드하여 해당 파일이

  정상적으로  로딩되지 않아서 발생하는 문제입니다.

   HKEY_LOCAL_MACHINE

       \SOFTWARE

             \MICROSOFT

                   \WINDOWS NT

                         \CurrentVersion

                               \Windows

     AppInit_DLLs="winmm.dll"와 LoadAppInit_DLLs = 0x1

     을 생성합니다.
 
예방 및 수동조치방법


< 예방 >


1. 터보백신Ai, 터보백신 Online, 터보백신 2001, , 터보백신IS 제품군으로 치료 및 예방가능합니다.


2. 윈도우 보안 패치를 항상 최신버전으로 업데이트합니다.


아래의 업데이트 목록은 해당 악성코드가 삽입된 웹페이지에서 이용한 취약점 리스트 입니다.


- MS Internet Explorer 7 Video ActiveX Remote Buffer Overflow Exploit (MS09-032)
(http://www.microsoft.com/korea/technet/security/bulletin/MS06-014.mspx)


- Internet Explorer Uninitialized Memory Corruption Vulnerability (MS09-002)
(http://www.microsoft.com/korea/technet/security/bulletin/MS09-002.mspx)


- Internet Explorer (MDAC) Remote Code Execution Exploit (MS06-014)
(http://www.microsoft.com/korea/technet/security/bulletin/MS06-014.mspx)


- Microsoft Office Web Components (Spreadsheet) ActiveX BOF (MS09-043)
(http://www.microsoft.com/korea/technet/security/bulletin/ms09-043.mspx)


 



 


수동조치방법 >


1. 감염된 시스템의 하드디스크를 다른 정상 시스템의 Slave로 연결한 후 부팅한다.


2. 정상시스템에서 레지스트리 편집기(regedit.exe)를 실행하여 HKEY_LOCAL_MACHINE


키를 선택한다. 



 


3. 파일(F) -> 하이브 로드(L)을 선택하면 하이브 로드할 수 있는 윈도우 창이 뜬다. 

 


4. 감염된 하드의 WINDOWS\system32\config 에서 software 파일을 선택하고 열기를 클릭한다. 

 


5. 키 이름에 임의의 키를 입력합니다. 

 





  6. 위의 과정을 마치면 부팅이 안되는 시스템의 레지스트리 정보가 로딩되어 진다.


  로딩이 되면 아래 레지스트리 값을 삭제한다. 
   HKEY_LOCAL_MACHINE\[위에서 지정한 임의의 이름]
       \MICROSOFT


\WINDOWS NT


      \CurrentVersion


           \DRIVERS32\
    "MIDI9 = 생성경로 및 파일명은 랜덤"


 
   7. 하이브 로드시 입력한 임의의 키(HKEY_LOCAL_MACHINE\키 이름)를 선택한 후 하이브 언로드


(파일하이브 언로드)를 한다.


 


8. 언로드가 완료되면 부팅이 안되었던 컴퓨터에 하드디스크를 연결 하신 후 터보백신 제품을 최신버전으로


    업데이트 하신 후 검사 및 치료를 한다.


 


 


 


 


 


 
무단전재ㆍ배포금지
에브리존에서 제공하는 모든 컨텐츠 정보에 대한 저작권은 에브리존의 소유이며 관련법의 보호를 받습니다.
에브리존의 사전 허가 없이 에브리존 컨텐츠를 무단으로 전재, 배포를 금지되어 있습니다.
이를 위반하는 경우 손해배상의 대상 또는 민.형사상의 법적 소송 대상이 될 수 있습니다.
                                                                 * 에브리존 정보 이용 문의 : greenking@everyzone.com
 목록