nProtect.co.kr - 인터넷 PC 보안 1위

바이러스 정보

취약점 분석

보안상식

윈도우 업데이트 안내

윈도우 쉽게 사용하기

정보보호 길잡이

바이러스 달력

Home > 보안컨텐츠

각종 바이러스에 대한 내용과 치료방법에 대한 정보를 드리는 곳입니다.

아래 바이러스 목록 외에 찾고자 하는 바이러스를 검색해 보시기 바랍니다.

Trojan/W32.Agent.112128.AC

다른이름(별칭)

Trojan.BlazeBot.A[BitDefender], WORM_BLAZEBOT.A[TrendMicro]

현재 확산도

시스템 위험도

네트워크 확산도

잠재 위험도

활동 플랫폼

형식/종류

확산방법

15|24

대표적 증상

파일 생성, 레지스트리 변경, 원격서버 접속

생성파일(Drop Files)

winlogon.exe, blazedworm.sys, blazewrm.vmx

악성 코드 크기

112,128 바이트

특정 활동일

특정 활동일 없음

제작국가

발견일

2009-07-11

유사/변형 정보

진단/치료 엔진정보
및 온라인 검사

진단가능엔진
(안티바이러스)

2009.07.12.01

치료가능엔진
(안티바이러스)

2009.07.12.01


내용
[전체 요약] 자신의 복사본을 숨김속성으로 생성하며, 특정 파일생성과 함께 레지스트리 값을 수정하여 윈도우 시작시 자동실행되게 한다. 또한, 원격서버에 접속을 시도한다. [확산 방법] 공유된 네트워크 폴더를 통해 유포될 수 있으며, OS나 응용 프로그램의 보안 취약점을 이용하여 유포되기도 한다. [감염 후 증상] 1. 다음과 같이 파일을 생성한다. - (드라이브 루트)\RECYCLER\blazewrm.vmx ( 11 바이트 ) - (사용자 폴더)\WinNT\winlogon.exe (112,128 바이트, Trojan/W32.Agent.112128.AC) - (윈도우 시스템 폴더)\drivers\blazedworm.sys (4,608 바이트, Trojan/W32.BlazeBot.4608) 2. 다음의 레지스트리를 생성하여 윈도우 시작시 자동 실행 되도록 한다. - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ policies\ Explorer\ Run\ - 이 름 : Windows Logon Servicer - 데이터 : (사용자 폴더)\WinNT\winlogon.exe - HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ blazedworm\ - 이 름 : ImagePath - 데이터 : "\??\C:\WINDOWS\system32\drivers\blazedworm.sys" 3. 숨김속성의 파일들을 사용자가 보지 못하게 하기 위해 다음과 같이 레지스트리를 수정한다. - HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced\ - 이 름 : Hidden - 데이터 : 2 - 이 름 : ShowSuperHidden - 데이터 : 0 - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced\ Folder\ Hidden\ SHOWALL\ - 이 름 : CheckedValue - 데이터 : 0 4. 다음의 레지스트리 값을 생성하여 "도구" -> "폴더옵션"의 사용을 막아 사용자가 숨김속성 파일을 찾기 어렵게 한다. - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ policies\ Explorer\ - 이 름 : NoFolderOptions - 데이터 : 1 5. 다음의 레지스트리 값을 생성하여 "시작" -> "실행"의 사용을 막는다. - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ policies\ Explorer\ - 이 름 : NoRun - 데이터 : 1 6. 다음의 레지스트리 값을 생성 및 수정하여 시스템 등록정보에서 시스템 복원탭을 제거한다. - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ SystemRestore\ - 이 름 : DisableConfig - 데이터 : 1 - 이 름 : DisableSR - 데이터 : 1 7. 아래와 같은 주소의 원격지 서버에 접속을 시도한다. - http://(생략)/s/(생략) - http://www.(생략).(생략) [참고 사항] - (드라이브 루트)란 드라이브의 최상위 폴더이다. (예. C:\, D:\) - (사용자 임시 폴더)란 일반적으로 C:\Documents and Settings\(사용자 계정)\Local Settings\Temp 이다. - (인터넷 임시 폴더)란 일반적으로 C:\Documents and Settings\(사용자 계정)\Local Settings\\Temporary Internet Files 이다. - (윈도우 폴더)란 일반적으로 95,98,ME에서는 C:\WINDOWS 이고, 2000, NT에서는 C:\WINNT, 윈도우XP에서는 C:\WINDOWS 이다. - (윈도우 시스템 폴더)란 일반적으로 95,98,ME에서는 C:\WINDOWS\SYSTEM 이고, 2000, NT에서는C:\WINNT\SYSTEM32, 윈도우XP에서는 C:\WINDOWS\SYSTEM32 이다. - (사용자 폴더)란 C:\Documents and Settings\admin\Application Data 이다. - (주)잉카인터넷의 악성코드 명명법을 확인하려면 아래 버튼을 클릭한다.

치료 방법

1. 사용 제품 실행 후 최신 엔진 및 패치 파일로 업데이트 한다.(메인화면. 트레이 아이콘, 시작메뉴 활용)
2. 메인화면에서 바이러스 검사 선택 후 검사할 범위을 지정하고 검사 시작 버튼을 클릭하여 검사를 시작한다.
3. 검사 종료 후 악성코드가 진단되면 진단된 항목을 확인하고 치료 버튼을 클릭하여 치료한다.
4. 치료된 항목을 확인한다.

본 분석자료의 모든 저작권은 ISARC(INCA Internet Security Analysis & Response Center)에 있으므로 무단 사용 및 도용을 금지합니다.

단, 비영리 또는 개인이 본 컨텐츠를 사용하는 것은 허용되고 있으나, 이 경우에는 정보의 출처를 반드시 밝혀야 하며, 상업적인 목적 또는 기업이 본 컨텐츠를 사용시에는 반드시 본사 컨텐츠 담당에게 사용 문의를 해야합니다.

정보 컨텐츠 이용 문의 : sale@inca.co.kr

최초 정보 입력 시간 | 2009.09.09 13:35 (GMT+9)

마지막 정보 수정 시간 | 2009.09.09 14:16 (GMT+9)