nProtect.co.kr - 인터넷 PC 보안 1위

바이러스 정보

취약점 분석

보안상식

윈도우 업데이트 안내

윈도우 쉽게 사용하기

정보보호 길잡이

바이러스 달력

Home > 보안컨텐츠

각종 바이러스에 대한 내용과 치료방법에 대한 정보를 드리는 곳입니다.

아래 바이러스 목록 외에 찾고자 하는 바이러스를 검색해 보시기 바랍니다.

Trojan/W32.TDSS.22528.B

다른이름(별칭)

Win32.Worm.Autorun.QV[BitDefender], W32.Tidserv.G[Symantec], Trojan.Win32.TDSS.wlk[Kaspersky]

현재 확산도

시스템 위험도

네트워크 확산도

잠재 위험도

활동 플랫폼

형식/종류

확산방법

15|20|25

대표적 증상

파일 생성, 레지스트리 변경

생성파일(Drop Files)

autorun.inf, (임의의 문자열).com, (임의의 문자열).dll, (임의의 숫자).tmp, tempo-(임의의 숫자).tmp

악성 코드 크기

22,528 바이트

특정 활동일

특정 활동일 없음

제작국가

발견일

2009-03-28

유사/변형 정보

진단/치료 엔진정보
및 온라인 검사

진단가능엔진
(안티바이러스)

2009.03.29.01

치료가능엔진
(안티바이러스)

2009.03.29.01


내용
[전체 요약] 윈도우 폴더 및 시스템 폴더에 임의의 이름으로 파일을 생성한다. 레지스트리를 생성하여 특정 프로세스들의 실행을 방해하고 자동으로 악성코드가 생성되게 한다. DNS서버의 ip를 변경하고 외부의 사이트로 접근을 시도한다. [확산 방법] 공유된 네트워크 폴더나 이동식 저장 매체를 통해 유포된다. OS나 응용 프로그램의 보안 취약점을 이용하여 유포되기도 한다. [감염 후 증상] 1. 다음과 같이 파일을 생성한다. - (휴지통 폴더)\(임의의 문자열).com (22,528바이트, Trojan/W32.TDSS.22528.B) - (윈도우 시스템 폴더)\(임의의 문자열).dll (13,824바이트) - (윈도우 임시 폴더)\(임의의 숫자).tmp (22,528바이트, Trojan/W32.TDSS.22528.B) - (윈도우 임시 폴더)\tempo-(임의의 숫자).tmp (53,248바이트) - (윈도우 임시 폴더)\(임의의 문자 및 숫자) (7,168바이트, 확장자 없음) - (드라이브 루트)\autorun.inf (임의의 사이즈) 2. 다음과 같이 레지스트리를 생성하여 악성코드를 삭제하여도 시스템을 재시작 하면 짝을 이루고 있는 악성코드가 자동 실행되도록 한다. - HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ Session Manager\ - 이 름 : PendingFileRenameOperations - 데이터 : (윈도우 임시 폴더)\(임의의 숫자).tmp (윈도우 임시 폴더)\(임의의 문자 및 숫자) 3. MSIServer 서비스를 실행하고 이를 이용하여 사용자가 드라이브 루트에 접근할 경우, 윈도우 임시 폴더에 tempo-(임의의 숫자).tmp파일을 생성한다. -HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Enum\ Root\ LEGACY_MSISERVER\ 0000\ Control\ - 이 름 : ActiveService - 데이터 : MSIServer 4. 숨김속성으로 다음의 레지스트리를 생성한다. 해당 키에 실행을 허용하지 않을 프로세스의 이름들을 등록한다. - HKEY_LOCAL_MACHINE\ SOFTWARE\ gaopdx\ disallowed\ - 등록된 프로세스 이름 : avp.exe, klif.sys, mbam.exe, mrt.exe, pctcore.sys, sasenum.sys, superantispyware.exe, szkg.sys (이하생략) - 데이터 : 없음 5. 드라이브 루트에 aurotun.inf파일을 생성한다. 이 파일의 기능을 악용하여 사용자가 해당 드라이브에 접근하면 휴지통 폴더에 생성된 악성코드가 자동으로 실행되게 한다. 6. 외부의 사이트에 접근을 시도하여 다른 악성코드를 다운로드 하려는 시도를 한다. - http://(생략).247.(생략).107/ 7. DNS Server의 주소 설정을 다음의 2가지 IP로 변경한다. - 85.255.112.190 - 85.255.112.232 [참고 사항] - (드라이브 루트)란 드라이브의 최상위 폴더이다. (예. C:\, D:\) - (휴지통 폴더)란 C:\RECYCLER\, D:\RECYCLER\이다. - (윈도우 드라이브 루트)란 윈도우가 설치된 드라이브의 최상위 폴더이다. - (윈도우 임시 폴더)란 일반적으로 C:\WINDOWS\TEMP\ 이다. - (윈도우 시스템 폴더)란 일반적으로 95,98,ME에서는 C:\WINDOWS\SYSTEM 이고, 2000, NT에서는 C:\WINNT\SYSTEM32, 윈도우XP에서는 C:\WINDOWS\SYSTEM32 이다. - BHO(Browser Helper Objects)란 인터넷 익스플로러의 플러그인 형태로 추가되는 DLL모듈을 말하며, 추가된 모듈은 인터넷 익스플로러가 실행 시 같이 실행된다. - (주)잉카인터넷의 악성코드 명명법을 확인하려면 아래 버튼을 클릭한다.

치료 방법

[nProtect Netizen / nProtect Personal 으로 치료하기]

1. 사용 제품을 실행 후 상단의 ON-SCAN 버튼을 클릭한다.
2. 환경설정에서 모든 파일에 체크하고 검사시작 버튼을 클릭하여 검사를 시작한다.
3. 검사 종료 후 악성코드가 진단되면 치료 여부를 묻는 메시지 창의 예 버튼을 클릭하여 치료한다.
4. 치료된 항목을 확인한다.

[nProtect Antivirus 2.0 / nProtect Antivirus for Windows Server / nProtect Enterprise로 치료하기]

1. 사용 제품 실행 후 최신 엔진 및 패치 파일로 업데이트 한다.(메인화면. 트레이 아이콘, 시작메뉴 활용)
2. 메인화면에서 바이러스 검사 선택 후 검사할 범위을 지정하고 검사 시작 버튼을 클릭하여 검사를 시작한다.
3. 검사 종료 후 악성코드가 진단되면 진단된 항목을 확인하고 치료 버튼을 클릭하여 치료한다.
4. 치료된 항목을 확인한다.

[nProtect 홈페이지에서 치료하기]

nProtect 홈페이지에서 진단 및 치료하는 방법은 아래의 버튼을 클릭하여 확인한다.

본 분석자료의 모든 저작권은 ISARC(INCA Internet Security Analysis & Response Center)에 있으므로 무단 사용 및 도용을 금지합니다.

단, 비영리 또는 개인이 본 컨텐츠를 사용하는 것은 허용되고 있으나, 이 경우에는 정보의 출처를 반드시 밝혀야 하며, 상업적인 목적 또는 기업이 본 컨텐츠를 사용시에는 반드시 본사 컨텐츠 담당에게 사용 문의를 해야합니다.

정보 컨텐츠 이용 문의 : sale@inca.co.kr

최초 정보 입력 시간 | 2009.04.08 16:38 (GMT+9)

마지막 정보 수정 시간 | 2009.04.08 16:38 (GMT+9)