nProtect.co.kr - 인터넷 PC 보안 1위

바이러스 정보

취약점 분석

보안상식

윈도우 업데이트 안내

윈도우 쉽게 사용하기

정보보호 길잡이

바이러스 달력

Home > 보안컨텐츠

각종 바이러스에 대한 내용과 치료방법에 대한 정보를 드리는 곳입니다.

아래 바이러스 목록 외에 찾고자 하는 바이러스를 검색해 보시기 바랍니다.

Trojan-Downloader/W32.Banker.50876

다른이름(별칭)

GenPack:Worm.Magistr.D[BitDefender], PE_Generic[Trend], W32/Threat-Backdoor-Silly-based!Maximus[F-Prot]

현재 확산도

시스템 위험도

네트워크 확산도

잠재 위험도

활동 플랫폼

형식/종류

확산방법

25|30

대표적 증상

파일다운로드 및 생성, 레지스트리 변경

생성파일(Drop Files)

1.exe, config.ini, top.exe

악성 코드 크기

50,876 바이트

특정 활동일

특정 활동일 없음

제작국가

발견일

2007-01-19

유사/변형 정보

- Trojan-Spy/W32.Banker.982016
- Trojan-Spy/W32.Banker.5307904
- Trojan-Spy/W32.Banker.61440
- Trojan-Spy/W32.Banker.101376

진단/치료 엔진정보
및 온라인 검사

진단가능엔진
(안티바이러스)

2007.01.19.01

치료가능엔진
(안티바이러스)

2007.01.19.01


내용
[ 분석 자료 전체 요약 ] Trojan-Downloader/W32.Banker.50876은 Trojan-Spy/W32.Banker.61440과 Trojan-Spy/W32.Banker.101376을 다운로드 하여 생성하고 자기 자신을 시작프로그램에 등록하여 지속적으로 실행되게 한다. 몇몇 보안 프로그램들의 프로세스를 종료하는 기능이 존재한다. [ 확산 방법 ] 자체 확산기능은 없으나 해킹된 웹사이트나 취약한 웹사이트를 통해서 전파될 수 있다. [감염 후 증상] 1. 악성코드가 실행되면 아래의 파일을 다운로드하고 실행된 후 삭제한다. - http://n(생략)o.n(생략)e.com/m(생략)1/1.exe - http://www.sy(생략)ce.com/ho(생략)g/top.exe 2. 아래의 레지스트리를 등록하여 프로그램 시작시 실행된다. - HKEY_USERS\ DEFAULT\ Software\ Microsoft\ Windows\ CurrentVersion\ Run - 이 름 : avptask - 데이터 : C:\Progra~1\Eset\1explore.exe 3. 아래의 파일을 다운로드 하여 종료시킬 프로세스와 다운로드 할 파일의 주소를 가져온다. - http://n(생략)to.n(생략)e.co(생략)/m(생략)01/co(생략).ini 4. 아래 목록의 이름을 가진 프로세스를 종료시킨다. - Vcrmon.exe - kav.exe - rav.exe - avp.exe - kavsvc.exe - KRegEx.exe - KVMonxp.kxp - KVWSC.exe - kvfw.exe - kavsvc.exe - avgas.exe - V3P3AT.exe - V3IMPro.exe - _AVPCC.exe - AVSCHED32.exe - DVP95_0.exe - ICLOAD95.exe - NORMIST.exe - TDS2-98.exe - OfcPfwSvc.exe - VSHWIN32.exe - TCA.exe - WEBSCANX.exe - RAV7.exe - PADMIN.EOUTPOST.exe - SpiderNT.exe - Vcrmon.exe - Xnlscn.exe - SpiderUI.exe - nod32krn.exe [참고 사항] - 윈도우 폴더란 일반적으로 95,98,ME에서는 C:\WINDOWS 이고, 2000, NT에서는 C:\WINNT, 윈도우XP에서는 C:\WINDOWS 이다. - 윈도우 시스템 폴더란 일반적으로 95,98,ME에서는 C:\WINDOWS\SYSTEM 이고, 2000, NT에서는 C:\WINNT\SYSTEM32, 윈도우XP에서는 C:\WINDOWS\SYSTEM32 이다. - (주)잉카인터넷의 악성코드 명명법을 확인하려면 아래 버튼을 클릭한다.

치료 방법

[nProtect Netizen / nProtect Personal 으로 치료하기]

1. 사용 제품을 실행 후 상단의 on-sacn 버튼을 클릭한다.
2. 환경설정에서 모든 파일에 체크하고 검사시작 버튼을 클릭하여 검사를 시작한다.
3. 검사 종료 후 악성코드가 진단되면 치료 여부를 묻는 메시지 창의 예 버튼을 클릭하여 치료한다.
4. 치료된 항목을 확인한다.

[nProtect Antivirus 2.0 / nProtect Antivirus for Windows Server / nProtect Enterprise로 치료하기]

1. 사용 제품 실행 후 최신 엔진 및 패치 파일로 업데이트 한다.(메인화면. 트레이 아이콘, 시작메뉴 활용)
2. 메인화면에서 바이러스 검사 선택 후 검사할 범위을 지정하고 검사 시작 버튼을 클릭하여 검사를 시작한다.
3. 검사 종료 후 악성코드가 진단되면 진단된 항목을 확인하고 치료 버튼을 클릭하여 치료한다.
4. 치료된 항목을 확인한다.

[nProtect 홈페이지에서 치료하기]

nProtect 홈페이지에서 진단 및 치료하는 방법은 아래의 버튼을 클릭하여 확인한다.

본 분석자료의 모든 저작권은 ISARC(INCA Internet Security Analysis & Response Center)에 있으므로 무단 사용 및 도용을 금지합니다.

단, 비영리 또는 개인이 본 컨텐츠를 사용하는 것은 허용되고 있으나, 이 경우에는 정보의 출처를 반드시 밝혀야 하며, 상업적인 목적 또는 기업이 본 컨텐츠를 사용시에는 반드시 본사 컨텐츠 담당에게 사용 문의를 해야합니다.

정보 컨텐츠 이용 문의 : sale@inca.co.kr

최초 정보 입력 시간 | 2007.01.19 23:16 (GMT+9)

마지막 정보 수정 시간 | 2007.03.08 15:40 (GMT+9)