Win32/Hidrag

위험도
위험도	낮음	미정	매우낮음	보통

다른이름

W32.Jeefo, PE_JEEFO.A, W32/Jeefo, Win32.Hidrag

생성 파일명

활동 플랫폼

윈도우

감염/설치 경로

파일실행

종류

바이러스

형태

실행파일

들어오는 포트

나가는 포트

제작국

불분명

특정활동일

특정일 활동 없음

최초 발견일

(현지시각 기준)

국내 발견일

2003-07-02

V3
대응정보

2003.07.02.00 엔진으로 이 바이러스를 진단할 수있습니다.	2003.07.16.00 엔진으로 이 바이러스를 치료할 수있습니다.

안철수연구소의 보안제품을 온라인으로 바로 구입하실 수 있습니다.

바이러스 진단 및 치료는 V3 제품군을 이용하시기 바랍니다. V3가 설치되어 있지 않은 고객께서는 V3 Internet Security 2007 Platinum 평가판을 무료로 이용하실 수 있습니다.

모든 V3 제품군의 최신 엔진 업데이트 내용을 여기에서 확인하실 수 있습니다.



증상 및 요약

- PE 형식의 윈도우 실행파일중 확장자 *.EXE 형태의 파일을 감염시킨다.

상세정보

Win32/Hidrag 바이러스는 2003년 7월 2일 국내 처음발견 보고 되었고 외국에서는 이미 발견 보고가 있었다. 감염된 파일을 실행하면 윈도우 폴더에 바이러스의 컴포넌트를 Drop 시키고 실행한다. 실행된 컴포넌트는 윈도우 환경에서 따라서 프로세스 형태 또는 서비스 형태로 실행되어 PE 형식의 윈도우 실행파일을 감염 시킨다. 감염된 파일은 36,352 바이트 만큼 증가한다. 감염외 별다른 증상은 없다. - 실행후 증상 감염된 파일을 실행하면 다음과 같은 파일이 윈도우 폴더에(일반적으로 c:\windows, c:\winnt) 생성된다. - svchost.exe : (36,352 바이트) - 바이러스 본체, 감염 컴포넌트 * 윈도우 2000, XP 사용자는 윈도우 시스템 폴더에 있는 정상적인 svchost.exe 파일과 혼동해서는 안된다. 그리고 윈도우 OS 에 따라서 자신을 레지스트리 또는 서비스 형태로 등록하여 부팅시마다 실행되도록 한다. - 윈도우 9x (레지스트리 등록) HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ RunServices PowerManager = C:\윈도우 폴더\SVCHOST.EXE - 윈도우 2000 (서비스로 등록) 서비스명 : Power Manager , 설명 : Manages the power save features of the computer - 파일감염 방법 실행중인 svchost.exe (36,352 바이트) 는 로컬 드라이브를 검색하여 PE 형식의 윈도우 실행파일을 감염시키는데 다음과 같은 조건을 가지고 있다. - 감염시키려는 파일의 크기가 102,400 바이트 보다 같거나 크면 감염시키고 작으면 감염시키지 않는다. - PE 형식의 윈도우 실행파일이라도 확장자가 *.EXE 형태만 감염된다. - 윈도우 폴더와 그 하위폴더내 파일은 감염대상에서 제외된다. 감염된 파일은 36,352 바이트 증가하고 기존파일에 .bss, .idata 섹션을 추가하면서 실행파일의 구성부분에 하나인 데이터 섹션과 리소스 섹션을 재구성하게된다. 이중 데이터 섹션은 암호화된다. 또한 바이러스 가지고 있는 내부 문자열도 XOR 등으로 암호화 되어 있다. 이렇게 재구성되면 감염된 파일을 실행시마다 바이러스가 먼저 실행되어 svchost.exe 파일을 윈도우 폴더에 Drop 할 수 있게된다. 이렇게 (감염된 파일이 실행되어) svchost.exe를 Drop 한 파일은 다시 데이터 섹션과 리소스 섹션이 재구성되면서 바이러스가 존재하지 않게된다. 하지만 실행중인 svchost.exe 에 의해서 다시 파일은 감염되고 이러한 상황은 반복되어진다. 이 정보는 2003년 07월09일 21시 50분에 최초작성 되었다.

치료법

- 2003년 7월 2일자 엔진부터 진단(예방)이 가능하다.

※ 이 정보에 대한 저작권은 (주)안철수연구소에 있으며 무단 사용 및 도용을 금합니다.

단, 개인이 비상업적인 목적으로 일부 내용을 사용하는 것은 허용하고 있으나, 이 경우 반드시 출처가 안철수연구소 임을 밝혀야 합니다.

기업이 이 정보를 사용할 때에는 반드시 안철수연구소의 허가를 받아야 하며, 허가 없이 정보를 이용할 경우 저작권 침해로 간주되어 법적인 제재를 받을 수 있습니다.

자세한 내용은 컨텐츠 이용약관을 참고하시기 바랍니다.

정보 이용 문의 :