보안IT뉴스 보안권고문 보안Tip 보안처방 보안통신 보안용어 보안백신메일 보안캘린더
보안위협DB 찾기
보안칼럼
에브리존 Zip에브리존 See에브리존 FTP

  보안IT뉴스
  보안권고문
  보안Tip
  보안처방
  보안통신
  보안용어
  보안백신메일
  보안캘린더
  보안위협DB찾기
  보안칼럼

   보안위협DB찾기
   
  
 목록 |  윗글 |  아랫글  
W32/Virut.C
 바이러스 종류
Window File Virus
 실행환경
Windows
 발견일
2007년04월06일
 제작지
불분명
 위험등급
위험
 확산방법
네트워크, 감염파일실행
 바이러스 크기
 첨부파일
 메일제목
  
 증상요약
  W32/Virut.C에 감염되면 시스템에 존재하는 EXE 와 SCR 파일을 찾아 감염을 시킨다.
 치료방법

터보백신 제품군으로 진단/치료 가능합니다.



  
 
상세설명

*감염 경로

이 바이러스는 해킹된 특정 웹사이트를 통해서 유포된 것으로 보이며 최근에는 웜이나 다른 악성코드에 결합되어 네트워크를 타고 감염되는 것으로 보인다.

*증상

감염되면 아래와 같은 문자가 포함된 폴더나 파일을 제외한 exe파일은 감염이 된다.

- WINC
- WCUN
- WC32
- PSTO

감염된 파일을 실행하면 윈도우 시스템 프로세스인 Winlogon.exe 에 자신의 코드를 인젝션 해둔다.

아래와 같은 이벤트값을Winlogon.exe에 발생 시켜 Winlogon.exe에 중복 인젝션 되는 것을 방지 시킨다.

-VT_4

특정 서버로 접속을 시도하며 추가적으로 다른 악성코드의 다운로드를 시도한다.

-Proxima.ircgalaxy.** (port 65520)

감염된 파일은 TimeDateStamp 값이 0x20202020으로 변경하는데 이는 자기 자신이 중복되어 감염되는 것을 방지하기 위한 값이다.

또한 다른 바이러스와는 달리 시작점은 그대로 이며 시작점 근처의 임의의 코드를 바이러스가 시작하는 부분으로 호출하도록 변경함으로써 자기 자신을 호출함으로써 진단을 어렵게 만든다.

바이러스 시작부분에는 바이러스 본체 부분을 복호화 하는 코드가 있으며 바이러스 본체는 파일 뒤에 위치한다.

 
예방 및 수동조치방법
무단전재ㆍ배포금지
에브리존에서 제공하는 모든 컨텐츠 정보에 대한 저작권은 에브리존의 소유이며 관련법의 보호를 받습니다.
에브리존의 사전 허가 없이 에브리존 컨텐츠를 무단으로 전재, 배포를 금지되어 있습니다.
이를 위반하는 경우 손해배상의 대상 또는 민.형사상의 법적 소송 대상이 될 수 있습니다.
* 에브리존 정보 이용 문의 : greenking@everyzone.com
 목록