nProtect.co.kr - 인터넷 PC 보안 1위

바이러스 정보

취약점 분석

보안상식

윈도우 업데이트 안내

윈도우 쉽게 사용하기

정보보호 길잡이

바이러스 달력

Home > 보안컨텐츠

각종 바이러스에 대한 내용과 치료방법에 대한 정보를 드리는 곳입니다.

아래 바이러스 목록 외에 찾고자 하는 바이러스를 검색해 보시기 바랍니다.

Backdoor/W32.IRCBot.7643

다른이름(별칭)

Backdoor.IRCBot.JV[BitDefender], WORM_OPANKI.AU[Trend], W32/Downloader-Sml-based!Maximus[F-Prot], W32.Esbot.E[Symantec]

현재 확산도

시스템 위험도

네트워크 확산도

잠재 위험도

활동 플랫폼

형식/종류

확산방법

대표적 증상

파일생성, 레지스트리변경, 시스템 속도저하

생성파일(Drop Files)

wgavn.exe

악성 코드 크기

7,643 바이트

특정 활동일

특정 활동일 없음

제작국가

발견일

2006-07-07

유사/변형 정보

진단/치료 엔진정보
및 온라인 검사

진단가능엔진
(안티바이러스)

2006.07.07.00

치료가능엔진
(안티바이러스)

2006.07.07.00


내용
[분석 자료 전체 요약] Backdoor/W32.IRCBot.7643는 시스템 서비스로 동작하며 Microsoft의 Security Center 레지스트리를 변경하여 감염된 시스템을 보안에 취약하도록 설정하게 된다. 그리고 IRC서버에 접속하여 옵퍼(방장)의 명령을 받아 특정 동작을 수행한다. [확산 방법] 다른 악성코드에 의해 전파되며 외부의 접속을 쉽게하는 백도어이다. [감염 후 증상] 1. 윈도우 시스템 폴더에 자신의 복사본을 생성한다. - (윈도우 시스템 폴더)\wgavn.exe (7,643 바이트 - 백도어의 복사본) 2. 레지스트리 값을 등록해서 서비스로 동작한다. - HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services\ wgavn - 이 름 : DisplayName - 데이터 : Windows Genuine Advantage Validation Notification - 이 름 : ImagePath - 데이터 : (윈도우 시스템 폴더)\wgavn.exe 3. Microsoft의 Security Center관련 레지스트리를 변경하여 감염된 시스템은 보안에 취약하게 된다. - HKEY_LOCAL_MACHINE\ Software\ Microsoft\ security center - 이 름 : antivirusdisablenotify - 데이터 : 0x00000001 - 이 름 : antivirusoverride - 데이터 : 0x00000001 - 이 름 : firewalldisablenotify - 데이터 : 0x00000001 - 이 름 : firewalldisableoverride - 데이터 : 0x00000001 - HKEY_LOCAL_MACHINE\ Software\ Policies\ Microsoft\ windowsfirewall\ standardprofile - 이 름 : enablefirewall - 데이터 : 0x00000000 - HKEY_LOCAL_MACHINE\ Software\ Policies\ Microsoft\ windowsfirewall\ domainprofile - 이 름 : enablefirewall - 데이터 : 0x00000000 4. 시스템 자원 공유에 관련된 레지스트리를 변경하여 파일 및 프린터 공유와 관련된 설정을 변경한다. - HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services\ lanmanserver\ parameters - 이 름 : autoshareserver - 데이터 : 0x00000000 - 이 름 : autosharewks - 데이터 : 0x00000000 5. ee(생략).stjohn(생략).net 주소나 ljr(생략).ha(생략).biz 주소를 지니는 IRC 서버에 접속하여 옵퍼(방장)의 명령을 받아 특정 동작을 수행하게 되는데, 수행될 수 있는 명령어는 아래와 같다. - 파일 실행 - 파일 다운로드 - 웜 버젼 가져오기 - 웜 제거하기 - 웜 종료하기 - 웜 업데이트 하기 [참고 사항] - 윈도우 폴더란 일반적으로 95,98,ME에서는 C:\WINDOWS 이고, 2000, NT에서는 C:\WINNT, 윈도우XP에서는 C:\WINDOWS 이다. - 윈도우 시스템 폴더란 일반적으로 95,98,ME에서는 C:\WINDOWS\SYSTEM 이고, 2000, NT에서는 C:\WINNT\SYSTEM32, 윈도우XP에서는 C:\WINDOWS\SYSTEM32 이다. - (주)잉카인터넷의 악성코드 명명법을 확인하려면 아래 버튼을 클릭한다.

치료 방법

[nProtect Netizen / nProtect Personal 으로 치료하기]

1. 사용 제품을 실행 후 상단의 on-sacn 버튼을 클릭한다.
2. 환경설정에서 모든 파일에 체크하고 검사시작 버튼을 클릭하여 검사를 시작한다.
3. 검사 종료 후 악성코드가 진단되면 치료 여부를 묻는 메시지 창의 예 버튼을 클릭하여 치료한다.
4. 치료된 항목을 확인한다.

[nProtect Antivirus 2.0 / nProtect Antivirus for Windows Server / nProtect Enterprise로 치료하기]

1. 사용 제품 실행 후 최신 엔진 및 패치 파일로 업데이트 한다.(메인화면. 트레이 아이콘, 시작메뉴 활용)
2. 메인화면에서 바이러스 검사 선택 후 검사할 범위을 지정하고 검사 시작 버튼을 클릭하여 검사를 시작한다.
3. 검사 종료 후 악성코드가 진단되면 진단된 항목을 확인하고 치료 버튼을 클릭하여 치료한다.
4. 치료된 항목을 확인한다.

[nProtect 홈페이지에서 치료하기]

nProtect 홈페이지에서 진단 및 치료하는 방법은 아래의 버튼을 클릭하여 확인한다.

본 분석자료의 모든 저작권은 ISARC(INCA Internet Security Analysis & Response Center)에 있으므로 무단 사용 및 도용을 금지합니다.

단, 비영리 또는 개인이 본 컨텐츠를 사용하는 것은 허용되고 있으나, 이 경우에는 정보의 출처를 반드시 밝혀야 하며, 상업적인 목적 또는 기업이 본 컨텐츠를 사용시에는 반드시 본사 컨텐츠 담당에게 사용 문의를 해야합니다.

정보 컨텐츠 이용 문의 : sale@inca.co.kr

최초 정보 입력 시간 | 2007.02.08 18:50 (GMT+9)

마지막 정보 수정 시간 | 2007.02.08 18:50 (GMT+9)