(주)에브리존 :: 바이러스 · 악성코드 없는 세상

보안IT뉴스

보안권고문

보안Tip

보안처방

보안위협DB 찾기

보안위협DB찾기

목록 |

윗글 |

아랫글

Trojan-W32/KorHack.55296

바이러스 종류

Trojan

실행환경

Windows

발견일

2006년07월11일

제작지

불분명

위험등급

보통

확산방법

Explorer, 악성코드

바이러스 크기

55,296 Byte

첨부파일

메일제목

증상요약

특정 온라인 게임의 사용자 계정을 훔쳐서 특정 메일주소로 전송

치료방법

터보백신 제품군으로 진단/치료 가능합니다.

상세설명

감염 경로

자제 전파 기능은 없으며, 사용자가 인터넷을 통해 메일, 게시판, 자료실 등에서 실행파일을 다운로드 해 실행되는 것으로 추정, 또한 다른 악성코드에 의해서도 다운로드 되거나 감염됨.

증상

감염된 시스템의 사용자가 특정 온라인 게임(Linea**)에 접속하여 사용자 아이디와 암호를 입력하면 이 입력된 정보를 특정 메일 주소로 전송

-파일 생성

윈도우 시스템 폴더에 explorer.exe, dab1.dll (Trojan-W32/KorHack.45056.E로 진단 ) 라는 파일 생성

-윈도우 시스템 폴더란?

-윈도우 95/98/ME -C:\Windows\System

-윈도우 NT/2000 -C:\WinNT\System32

-윈도우 XP -C:Windows\System32

-레지스트리 등록

레지스트리에 다음 value를 등록해 윈도우 구동시 자동 실행되도록 만든다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit = 윈도우 시스템 폴더\userinit.exe, 윈도우 시스템 폴더\explorer.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
Explorer.exe = 윈도우 시스템 폴더\explorer.exe

예방 및 수동조치방법