보안IT뉴스 보안권고문 보안Tip 보안처방 보안통신 보안용어 보안백신메일 보안캘린더
보안위협DB 찾기
보안칼럼
에브리존 Zip에브리존 See에브리존 FTP

  보안IT뉴스
  보안권고문
  보안Tip
  보안처방
  보안통신
  보안용어
  보안백신메일
  보안캘린더
  보안위협DB찾기
  보안칼럼

   보안위협DB찾기
   
  
 목록 |  윗글 |  아랫글  
Dropper-W32/Yinwin.49577
 바이러스 종류
Trojan
 실행환경
windows
 발견일
2005년04월28일
 제작지
중국
 위험등급
낮음
 확산방법
불분명
 바이러스 크기
49,577 Bytes
 첨부파일
 메일제목
  
 증상요약
  윈도우 폴더에 rundll32.exe(49,577 byte)을 생성하며, 윈도우 시스템 폴더에 Internet.exe(49,577byte), hzdll.dll, hoo.dll 파일을 생성한다. 익스플로러를 이용할때 전송되는 사용자 계정과 암호를 후킹하여 c:\whboytt1.txt 에 저장, 특정 메일주소로 전송한다.
 치료방법

터보백신 제품군으로 진단/치료 가능합니다.



  
 
상세설명
델파이로 작성되었으며, Dropper-W32/Yinwin.49577 를 실행 하면,

윈도우 폴더(windows 98,me : c:\windows, windows XP: c:\windows,

windows 2000: c:\winnt)에 rundll32.exe(49,577 byte)을 생성하며,

윈도우 시스템 폴더(windows 98,me : c:\windows\system, windows XP: c:\windows\system32,

windows 2000: c:\winnt\system32) 에 Internet.exe(49,577byte), hzdll.dll, hoo.dll 파일을 생성한다.

윈도우 버전에 따라 hoo.dll 은 windows 98, me 에서 사용되며, hzdll.dll 은 windows XP, 2000 용이다.

그리고 c:\whboytt1.txt 파일은 일반 텍스트로 후킹한 사용자 정보를 저장 하는 파일이다.

해당 파일들이 동작하게 되면 자신을 다음과 같이 레지스트리에
등록 한다.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\run
항목에

Win9x 인 경우 : Runtt1 = c:\Windows\System\Internet.exe

Win XP 인경우 : Runtt1 = c:\Windows\System32\Internet.exe

Win 2000 인 경우 : Runtt1 = c:\WinNT\System32\Internet.exe

수집된 정보는 *****@163.com 의 메일주소를 수신자로 하고,

발신자 메일주소는 xxx@microsoft.com 으로 대체 한다.
 
예방 및 수동조치방법
무단전재ㆍ배포금지
에브리존에서 제공하는 모든 컨텐츠 정보에 대한 저작권은 에브리존의 소유이며 관련법의 보호를 받습니다.
에브리존의 사전 허가 없이 에브리존 컨텐츠를 무단으로 전재, 배포를 금지되어 있습니다.
이를 위반하는 경우 손해배상의 대상 또는 민.형사상의 법적 소송 대상이 될 수 있습니다.
* 에브리존 정보 이용 문의 : greenking@everyzone.com
 목록