에브리존소개 | 제품소개 | 고객센터 | 사이트맵 | Home
개인고객 여성고객 e보안마켓 이벤트
개인고객기업고객
보안접속 ID저장
AD 무료로 책받아가세요!


 목록 |  윗글 |  아랫글  
Backdoor-W32/Flood.452608
 바이러스 종류
Backdoor
 실행환경
Win9x, Win2000, NT
 발견일
-
 제작지
불분명
 위험등급
 확산방법
 바이러스 크기
617,559 Bytes
 첨부파일
 메일제목
  
 증상요약
  
 치료방법

터보백신 Ai, 터보백신 2001 또는 터보백신 Online으
로 치료가능합니다.



  
 
상세설명
여러가지 정상적인 유틸리티를 이용하여 실행되는 바
이러스로 최초
Gg.exe파일이 Admin 권한을 가지고 공격대상의 서버
에 연결을 시도한다.
만약 해당 서버에 Flashfxp 그리고 Ws_ftp 프로그램
이 존재 하면
Ocxdll.exe를 복사하여 실행 시키게 되는데, 해당 명
령을 실행 시키기 위
해 Psexec.exe라는 원격 리모트 유틸리티 프로그램을
사용한다.

Ocxdll.exe파일은 pklite의 자동 실행 파일 압축되어
있어서 실행 되면
아래의 파일을 생성 한다.

winhp32.exe
pstor.exe
NT32.INI
seced.bat
ncp.exe
mdm.scr
BACKUP.BAT
psexec.exe
kill.exe
XVPLL.HLP
gates.txt
TFT8675
DLL32.HLP
DLL32NT.HLP

이때 해당 파일들이 동작하게 되면 자신을 다음과 같
이 레지스트리에
등록 한다.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr
entVersion\run
항목에

Win9x 인 경우 : RunDll32 =
c:\Windows\System\taskmngr.exe
WinNT 인 경우 : RunDll32 = c:\WinNT\System32
\taskmngr.exe

이때 taskmngr.exe는 최소화 된 창으로 나타났다가 사
라지게 되는데
작업관리창에서 실행 되고 있는 것을 확인 할 수 있
다.


그리고 윈도우 보안 설정에 관련된 레지스트리 값을
변경하며, 60609 포트
를 오픈하고, irc 설정 파일인 dll16.ini 를 생성 하
게 된다.

이후 자체 DB를 이용한 특정 irc 서버로의 접속을 시
도 하게 된다.


Microsoft Product Support Services (PSS) 보안팀에
따르면 다음과 같은
파일이 사용자의 PC에서 발견될 경우나 Psexec,
Ws_ftp, Flashfxp 유틸리티
를사용할때에는 백신을 사용해보길 권하고 있다.

Gg.bat
Seced.bat
Nt32.ini
Ocxdll.exe
Psexec
Ws_ftp
Flashfxp
Gates.txt
 
예방 및 수동조치방법
무단전재ㆍ배포금지
에브리존에서 제공하는 모든 컨텐츠 정보에 대한 저작권은 에브리존의 소유이며 관련법의 보호를 받습니다.
에브리존의 사전 허가 없이 에브리존 컨텐츠를 무단으로 전재, 배포를 금지되어 있습니다.
이를 위반하는 경우 손해배상의 대상 또는 민.형사상의 법적 소송 대상이 될 수 있습니다.
                                                                 * 에브리존 정보 이용 문의 : greenking@everyzone.com
 목록