nProtect.co.kr - 인터넷 PC 보안 1위

바이러스 정보

취약점 분석

보안상식

윈도우 업데이트 안내

윈도우 쉽게 사용하기

정보보호 길잡이

바이러스 달력

Home > 보안컨텐츠

각종 바이러스에 대한 내용과 치료방법에 대한 정보를 드리는 곳입니다.

아래 바이러스 목록 외에 찾고자 하는 바이러스를 검색해 보시기 바랍니다.

Trojan/W32.Agent2.13312.G

다른이름(별칭)

Trojan.Generic.1718623[BitDefender], W32.Koobface.A[Symantec], WORM_KOOBFACE.BX[TrendMicro]

현재 확산도

시스템 위험도

네트워크 확산도

잠재 위험도

활동 플랫폼

형식/종류

확산방법

24|25

대표적 증상

파일 생성, 특정 사이트 접속, 레지스트리 값 생성

생성파일(Drop Files)

websrvx.exe, ld03.exe, captcha7.dll

악성 코드 크기

13,312 바이트

특정 활동일

특정 활동일 없음

제작국가

발견일

2009-04-09

유사/변형 정보

- Trojan/W32.Agent2.50688.O

진단/치료 엔진정보
및 온라인 검사

진단가능엔진
(안티바이러스)

2009.04.09.02

치료가능엔진
(안티바이러스)

2009.04.09.02


내용
[전체 요약] 자신의 복사본을 생성하며, 방화벽 설정을 통해 특정포트를 열어놓는다. 또한 윈도우 시작시 자동으로 실행되도록 서비스에 등록한다. [확산 방법] 공유된 네트워크 폴더, OS나 응용 프로그램의 보안 취약점을 이용하여 유포된다. [감염 후 증상] 1. 다음과 같이 파일을 생성한다. - (윈도우 폴더)\ld03.exe (13,312바이트) - (프로그램 파일 폴더)\websrvx\websrvx.exe (12,800바이트) - (프로그램 파일 폴더)\captcha7.dll (16,896바이트) 2. 다음과 같이 레지스트리 값을 등록하여 윈도우 시작시 서비스로 동작되도록 한다. - HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ websrvx\ - 이 름 : ImagePath - 데이터 : (프로그램 파일 폴더)\websrvx\websrvx.exe - HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ websrvx\ - 이 름 : ImagePath - 데이터 : (프로그램 파일 폴더)\websrvx\websrvx.exe 3. 다음과 같이 레지스트리 값을 등록하여 방화벽설정을 한다. - HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ SharedAccess\ Parameters\ FirewallPolicy\ StandardProfile\ GloballyOpenPorts\ List\ - 이 름 : 80:TCP - 데이터 : 80:TCP::Enabled:websrvx - 이 름 : 53:TCP - 데이터 : 53:TCP::Enabled:websrvx 4. 다음과 같은 레지스트리 값을 등록하여 윈도우 시작시 자동으로 실행되게 한다. - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run\ - 이 름 : sysldtray - 데이터 : c:\windows\ld03.exe 5. 다음과 같은 원격지의 서버로 접속을 시도한다. - http://www.(생략)/1/(생략) - http://www.(생략)/1/(생략) - http://www.(생략)/1/(생략) - http://www.(생략)/1/(생략) - http://www.(생략) - http://www.(생략) 6. Trojan/W32.Agent2.13312.G는 Koobface라는 다른 진단명으로도 진단되고 있다. Koobface는 사회교류사이트(SNS : Social Networking Sites)인 Face Book의 메시징 시스템을 경로로 활용해 PC를 감염시킨 뒤 개인정보 유출등을 시도하는 악성코드의 진단명이다. 해당악성코드에 감염될 경우 특정 메시지 창을 띄워 메시지 클릭을 유도하며, 클릭하면 다른 특정 사이트에서 악성코드를 다운로드하여 PC를 추가감염 시키는 특성을 보인다. * Koobface 진단명은 Face Book을 거꾸로 표기한 형태이다.(Book -> Koob, Face -> face => Koobface) [참고 사항] - (드라이브 루트)란 드라이브의 최상위 폴더이다. (예. C:\, D:\) - (윈도우 드라이브 루트)란 윈도우가 설치된 드라이브의 최상위 폴더이다. - (사용자 임시 폴더)란 일반적으로 C:\Documents and Settings\(사용자 계정)\Local Settings\Temp 이다. - (윈도우 폴더)란 일반적으로 95,98,ME에서는 C:\WINDOWS 이고, 2000, NT에서는 C:\WINNT, 윈도우XP에서는 C:\WINDOWS 이다. - (윈도우 시스템 폴더)란 일반적으로 95,98,ME에서는 C:\WINDOWS\SYSTEM 이고, 2000, NT에서는 C:\WINNT\SYSTEM32, 윈도우XP에서는 C:\WINDOWS\SYSTEM32 이다. - BHO(Browser Helper Objects)란 인터넷 익스플로러의 플러그인 형태로 추가되는 DLL모듈을 말하며, 추가된 모듈은 인터넷 익스플로러가 실행 시 같이 실행된다. - (프로그램 파일 폴더)란 일반적으로 C:\Program Files 이다. - (주)잉카인터넷의 악성코드 명명법을 확인하려면 아래 버튼을 클릭한다.

치료 방법

1. 사용 제품 실행 후 최신 엔진 및 패치 파일로 업데이트 한다.(메인화면. 트레이 아이콘, 시작메뉴 활용)
2. 메인화면에서 바이러스 검사 선택 후 검사할 범위을 지정하고 검사 시작 버튼을 클릭하여 검사를 시작한다.
3. 검사 종료 후 악성코드가 진단되면 진단된 항목을 확인하고 치료 버튼을 클릭하여 치료한다.
4. 치료된 항목을 확인한다.

본 분석자료의 모든 저작권은 ISARC(INCA Internet Security Analysis & Response Center)에 있으므로 무단 사용 및 도용을 금지합니다.

단, 비영리 또는 개인이 본 컨텐츠를 사용하는 것은 허용되고 있으나, 이 경우에는 정보의 출처를 반드시 밝혀야 하며, 상업적인 목적 또는 기업이 본 컨텐츠를 사용시에는 반드시 본사 컨텐츠 담당에게 사용 문의를 해야합니다.

정보 컨텐츠 이용 문의 : sale@inca.co.kr

최초 정보 입력 시간 | 2009.05.27 13:26 (GMT+9)

마지막 정보 수정 시간 | 2009.06.16 14:30 (GMT+9)