보안IT뉴스 보안권고문 보안Tip 보안처방 보안통신 보안용어 보안백신메일 보안캘린더
보안위협DB 찾기
보안칼럼
에브리존 Zip에브리존 See에브리존 FTP

  보안IT뉴스
  보안권고문
  보안Tip
  보안처방
  보안통신
  보안용어
  보안백신메일
  보안캘린더
  보안위협DB찾기
  보안칼럼

   보안위협DB찾기
   
  
 목록 |  윗글 |  아랫글  
W32/WhBoy.C
 바이러스 종류
Window File Virus
 실행환경
Windows
 발견일
2007년01월01일
 제작지
불분명
 위험등급
위험
 확산방법
네트워크, 악성코드
 바이러스 크기
68,733Byte
 첨부파일
 메일제목
  
 증상요약
  W32/WhBoy.C 에 감염되면 시스템폴더를 제외한 exe파일은 감염이 되며
, 감염된 디렉토리안에 desktop_.ini를 생성한다.
 치료방법

터보백신 제품군으로 진단/치료 가능합니다.



  
 
상세설명

*감염 경로

네트워크 공유를 통해서 전파된다.

 


*증상

감염되면 시스템폴더를 제외한 exe파일은 감염이 되며, 감염된 디렉토리안에 desktop_.ini를 생성한다.  

또한 시스템 폴더에 자신을 복제하며 레지스터리에 등록하여 재부팅시 자동 실행되도록 한다.

그리고 정상 HTML 문서에 iframe 삽입하여 악성코드를 다운로드한다.

 

-파일 생성

 

윈도우 시스템 폴더\drivers\ 폴더에 spoclsv.exe라는 파일을 생성한다.

        -윈도우 시스템 폴더란?

-          윈도우 95/98/ME/XP  - C:\Windows\System,

-          윈도우 NT/2000      -C:\WinNT\System32

-          윈도우 XP           - C:\Windows\System32

       

-레지스트리 등록 

 

레지스트리에 다음 value 등록해 윈도우 구동시 자동 실행되도록 만든다.  

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
svcshare =
윈도우 시스템 폴더\drivers\spoclsv.exe

 

-다음 레지스트리값 변경

아래 레지스트리값을 변경하여 숨김 파일을 없게 만든다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

CheckedValue=0

 

-레지스트리 삭제

아래에 해당하는 레지스트리 키를 삭제한다.

sharedaccess
RsCCenter RsRavMon KVWSC
KVSrvXP
kavsvc
McAfeeFramework
McShield
McTaskManager
McAfeeFramework
McShield
McTaskManager
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc

SOFTWARE\
Microsoft\Windows\CurrentVersion\Run\RavTask

SOFTWARE\
Microsoft\Windows\CurrentVersion\R
un\KvMonXP

SOFTWARE\Microsoft\Windows\CurrentVersion\Run
kav

SOFTWARE\Microsoft\Windows\CurrentVersion\Run
KAVPersonal50

SOFTWARE\Microsoft\Windows\CurrentVersion\Run
McAfeeUpdaterUI

SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Network Associates Error Reporting Service

SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ShStatEXE

SOFTWARE\Microsoft\Windows\CurrentVersion\Run
YLive.exe

SOFTWARE\Microsoft\Windows\CurrentVersion\Run
yassistse


-프로세스 종료


다음 실행 중인 프로세스를 강제 종료 시킨다.

Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe

-파일 다운로드

아래의 파일을 다운로드한 뒤   윈도우 시스템 폴더에 저장 한다.


- cimemli.exe
- cimemost.dll
- dllf.dll

 
예방 및 수동조치방법
무단전재ㆍ배포금지
에브리존에서 제공하는 모든 컨텐츠 정보에 대한 저작권은 에브리존의 소유이며 관련법의 보호를 받습니다.
에브리존의 사전 허가 없이 에브리존 컨텐츠를 무단으로 전재, 배포를 금지되어 있습니다.
이를 위반하는 경우 손해배상의 대상 또는 민.형사상의 법적 소송 대상이 될 수 있습니다.
* 에브리존 정보 이용 문의 : greenking@everyzone.com
 목록