| Dropper/LineageHack.52224 |
 |
|
|
|
 최초 입력시간 : 2006. 07. 24 09:09 (GMT+9) |
최종 수정시간 : 2006. 07. 24 09:09 (GMT+9) | |
| 다른이름 |
없음 |
| 생성 파일명 |
explorer, dab1.dll |
| 대표적 증상 |
사용자 정보 유출 |
| 활동 플랫폼 |
윈도우 |
감염/설치 경로 |
파일실행, 다른 악성코드 |
| 종류 |
트로이목마, 설치자 |
형태 |
실행파일 |
| 들어오는 포트 |
N/A |
나가는 포트 |
N/A |
| 제작국 |
불분명 |
특정활동일 |
특정일 활동 없음 |
| 최초 발견일 |
2006-07-20(현지시각 기준) |
국내 발견일 |
2006-07-20 |
V3
대응정보 |
2006.07.22.00 엔진으로
이 바이러스를 진단할 수있습니다. |
2006.07.22.00엔진으로
이 바이러스를 치료할 수있습니다. |
|
 안철수연구소의 보안제품을 온라인으로 바로 구입하실 수 있습니다.
  |
|
V3가 설치되어 있지 않은 고객께서는 V3Pro 2004 평가판을 무료로 이용하실 수 있습니다.
|
|
모든 V3 제품군의 최신 엔진 업데이트 내용을 여기에서 확인하실 수 있습니다.
|
| |
|
|
| 증상 및 요약 |
 |
|
| Dropper/LineageHack.52224 는 특정 온라인 게임의 사용자 계정을 훔쳐가는 트로이목마 프로그램을 생성하는 드로퍼이다. 해당 드로퍼가 실행되면 윈도우 시스템 폴더에 explorer (52,224 바이트) , dab1.dll (45,056 바이트) 를 생성하는데 이는 사용자의 키보드 입력을 가로채어 특정 메일주소로 전송하는 트로이목마이다. |
|
| 상세정보 |
|
|
* 전파 경로
|
자체 전파 기능은 없으며 사용자가 메일, 메신저, 게시판, 자료실 등에서 실행 파일을 다운로드 해 실행하거나 다른 악성코드(웜, 바이러스, 트로이목마)에서 설치하는 것으로 보인다.
|
* 실행 후 증상
|
[파일 생성]
윈도우 시스템 폴더에 다음 파일을 생성한다.
- explorer (52,224 바이트)
- dab1.dll (45,056 바이트) - V3에서 Win-Trojan/LineageHack.45056.J으로 진단된다.
주) 윈도우 시스템 폴더는 사용 윈도우에 따라 다르며 보통 윈도우 95/98/ME는 C:\Windows\System, 윈도우 NT/2000은 C:\WinNT\System32, 윈도우 XP는 C:\Windows\System32 폴더이다.
[레지스트리 수정]
레지스트리에 다음 값을 수정한다.
HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows NT
CurrentVersion
Winlogon
Old type : Userinit = 윈도우 시스템 폴더userinit.exe
Nes type : Userinit = 윈도우 시스템 폴더userinit.exe, 윈도우 시스템 폴더explorer.exe,
[키보드 입력 후킹]
해당 드로퍼는 자신이 생성한 dab1.dll 파일을 실행 중인 모든 프로세스에 강제로 주입시킨다. 감염된 시스템의 사용자가 특정 온라인 게임에 접속하여 사용자 아이디와 암호를 입력하게 될 경우 해당 값들을 가로채어 특정 메일주소로 전송한다.
|
|
|
| 치료법 |
|
|
* V3Pro 2002 Deluxe / V3Pro 2004 / V3Net for Windows Server 사용자
1. 사용 제품을 실행 후 [업데이트] 버튼이나 업데이트 파일을 통해 최신 엔진 및 패치 파일로 업데이트 한다.
2. 검사할 드라이브를 지정하고 검사를 시작한다.
3. 프로세스에서 실행중인 관련 악성코드가 진단되면 안내되는 메시지의 '강제종료후 치료' 선택한다. 종료된 악성코드는 자동 치료(삭제)된다.
4. 프로세스 검사와 지정 드라이브 검사가 끝나면 치료창이 보여진다. 여기서 '전체목록치료' 버튼을 눌러 진단된 악성코드를 치료(삭제)한다.
5. 필요시 추가/변경 된 레지스트리 값은 자동수정된다.
6. 치료 실패 혹은 재감염이 발생할 경우 우선 안전모드로 부팅 후 치료해 본다. 계속 치료 실패 혹은 재감염 증상이 발생한다면 안리포트 결과와 함께 신고센터로 문의한다.
* MyV3 사용자
1. MyV3 사이트( http://clinic.ahnlab.com/clinic/myv3.html 등)에 접속해 실행한다. 만약 MyV3의 액티브 X 컨트롤이 설치되어 있지 않다면 '보안 경고'창에서 '예'를 눌러 설치한다.
2. MyV3를 최신 버전으로 업데이트 된다.
3. 검사할 드라이브를 지정하고 [검사시작] 버튼을 눌러 검사를 시작한다.
4. 프로세스에서 실행중인 관련 악성코드가 진단되면 안내되는 메시지의 '강제종료후
치료' 선택한다. 종료된 악성코드는 자동 치료(삭제)된다.
5. 프로세스 검사와 지정 드라이브 검사가 끝나면 치료창이 보여진다. 여기서 '전체목
록치료' 버튼을 눌러 진단된 악성코드를 치료(삭제)한다.
6. 필요시 추가/변경 된 레지스트리 값은 자동수정된다.
7. 치료 실패 혹은 재감염이 발생할 경우 우선 안전모드로 부팅 후 치료해 본다. 계속 치료 실패 혹은 재감염 증상이 발생한다면 안리포트 결과와 함께 신고센터로 문의한다.
| |
최근 아이리버 사이트 방문후 이 악성코드에 걸린 적이 있습니다.
