Win-Trojan/Agent.67072.DL

최초 입력시간 : 2009. 07. 09 03:19 (GMT+9)

최종 수정시간 : 2009. 07. 09 04:30 (GMT+9)

위험도
위험도	보통	높음	보통	보통	4단계 긴급

다른이름

생성 파일명

대표적 증상

네트워크 관련

활동 플랫폼

윈도우

감염/설치 경로

파일실행

종류

트로이목마

형태

실행파일

들어오는 포트

나가는 포트

제작국

불분명

특정활동일

특정일 활동 없음

최초 발견일

2009-07-08 (현지시각 기준)

국내 발견일

2009-07-08

V3
대응정보

2009.07.08.01 엔진으로 이 바이러스를 진단할 수있습니다.	2009.07.08.01 엔진으로 이 바이러스를 치료할 수있습니다.

안철수연구소의 보안제품을 온라인으로 바로 구입하실 수 있습니다.

바이러스 진단 및 치료는 V3 제품군을 이용하시기 바랍니다. V3가 설치되어 있지 않은 고객께서는 V3 Lite을 무료로 이용하실 수 있습니다.

모든 V3 제품군의 최신 엔진 업데이트 내용을 여기에서 확인하실 수 있습니다.



증상 및 요약

Win-Trojan/Agent.67072.DL 은 DDoS 공격을 수행하는 증상을 갖는다. 단독으로는 동작 하지 않으며 uregvs.nls (V3 는 BinImage/Host 로 진단 한다.) 파일내 공격할 호스트와 공격 시간등을 토대로 수행 하게 된다. uregvs.nls 파일은 Win-Trojan/Agent.33841 에서 생성 된다.

상세정보

* 전파 경로 Win-Trojan/Downloader.374651 에서 생성 된다. * 실행 후 증상 Win-Trojan/Agent.67072.DL 은 Win-Trojan/Downloader.374651 에 의해서 생성 되며 자신을 서비스로 등록하여 동작 한다. 서비스명은 다음과 같다. - "WMI Performance Configuration" 레지스트리에 다음 값을 추가해 윈도우 시작 시 서비스로 자동 실행되게 한다. HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ WmiConfig ImagePath = "%systemroot%\system32\svchost.exe -k wmiconf" 서비스 시작 후 3분 Sleep 후 공격시도을 시도 하는데 uregvs.nls 파일의 내용을 참고해서 DDoS 공격을 수행 한다. uregvs.nls 파일은 여러가지 변형이 존재 하는 것으로 알려져 있다. uregvs.nls 파일은 공격할 호스트 URL 와 갯수 그리고 공격시간을 가지고 있다. uregvs.nls 파일의 offset 0x08 위치에 공격할 호스트 갯수가 담겨져 있다. 공격할 URL 정보는 공격할 URL 과 공격 방식이 한쌍으로 표시 되어 있다. 현재 까지는 HTTP GET Flooding 공격만이 확인 되었고 80/TCP POST Flooding 은 확인 되지 않았다. 공격할 두번째 호스트 URL 문자열에서의 - 0x26 offset 에는 공격시작 시간과 끝시간이 명시되어 있다. 이는 시스템의 로컬 시간과 비교하여 판단 하는데 시간은 SystemTimeToVariantTime API 사용을 위해 8바이트로 저장되어져 있다. * 패킷 관련 정보 악성코드가 동작 하면 1대의 시스템에서 초당 1050 패킷, 100k 바이트 정도 발생 된다. 1대의 시스템에서 공격 대상 호스트로 초당 100 패킷, 7k 바이트 정도 발생 된다.

치료법

* V3 Internet Security (2007 / 2007 Platinum / 7.0 Enterprise / 7.0 Platinum Enterprise) 사용자 1. 제품 실행 후 오른쪽 상단의 [업데이트]를 선택하거나 업데이트 파일을 통해 최신 엔진 및 패치 파일로 업데이트 한다. 2. 왼쪽 메뉴의 [바이러스 검사]를 선택 후 [검사하기]를 누른다. 3. 빠른 검사, 수동 검사, 사용자 목록 검사 중 검사 방법을 선택 후 [검사 시작]을 누른다. 4. 메모리에서 실행중인 악성코드가 발견되면 일반적으로 자동 치료(삭제)된다. 5. 메모리 검사와 파일 검사가 끝나면 진단 결과에 진단명이 나타난다. 여기서 '모두 선택'이나 개별 선택 후 [치료하기]를 눌러 진단된 악성코드를 치료(삭제)한다. 6. 치료 혹은 삭제 할때 추가/변경 된 레지스트리 값은 자동 수정된다. 7. 치료 실패 혹은 재감염이 발생할 경우 우선 안전모드로 부팅 후 치료해 본다. 계속 치료 실패 혹은 재감염 증상이 발생한다면 안리포트 결과와 함께 신고센터로 문의한다. * V3 365 클리닉 사용자 1. 프로그램 실행 후 아래 [빠른 검사] 버튼을 누른다. * V3 365 클리닉은 자동 업데이트가 진행되나 만일 업데이트 설정을 자동으로 설정하지 않았다면 프로그램 하단의 [업데이트]를 선택하여 최신 엔진 파일로 업데이트 한다. 1-1. 정밀 검사를 원할 경우 프로그램 상단 메뉴 중 [PC검사]를 눌러 [정밀검사] 버튼을 누른다. 1-2. 나타난 정밀검사 창의 검사 영역 및 방법을 선택하고 [검사 시작]을 누른다. 2. 메모리에서 실행중인 악성코드가 발견되면 일반적으로 자동 치료 및 삭제가 된다. 3. 검사가 끝난 후 상세 정보를 선택하면 악성코드명, 파일경로, 상태 등의 자세한 정보를 확인할 수 있다. 자동 치료가 되지 않은 경우 여기서 [치료하기]를 눌러 진단된 악성코드를 치료(삭제)한다. 4. 치료 혹은 삭제 할때 추가/변경 된 레지스트리 값은 자동 수정된다. 5. 치료 실패 혹은 재감염이 발생할 경우 우선 안전모드로 부팅 후 치료해 본다. 계속 치료 실패 혹은 재감염 증상이 발생한다면 안리포트 결과와 함께 신고센터로 문의한다. * 안철수연구소는 다음과 같은 전용백신을 제공 하고 있다. * 전용백신 페이지 바로가기

인쇄하기

※ 이 정보에 대한 저작권은 (주)안철수연구소에 있으며 무단 사용 및 도용을 금합니다.

단, 개인이 비상업적인 목적으로 일부 내용을 사용하는 것은 허용하고 있으나, 이 경우 반드시 출처가 안철수연구소 임을 밝혀야 합니다.

기업이 이 정보를 사용할 때에는 반드시 안철수연구소의 허가를 받아야 하며, 허가 없이 정보를 이용할 경우 저작권 침해로 간주되어 법적인 제재를 받을 수 있습니다.

자세한 내용은 컨텐츠 이용약관을 참고하시기 바랍니다.

정보 이용 문의 :