nProtect.co.kr - 인터넷 PC 보안 1위

바이러스 정보

취약점 분석

보안상식

윈도우 업데이트 안내

윈도우 쉽게 사용하기

정보보호 길잡이

바이러스 달력

Home > 보안컨텐츠

각종 바이러스에 대한 내용과 치료방법에 대한 정보를 드리는 곳입니다.

아래 바이러스 목록 외에 찾고자 하는 바이러스를 검색해 보시기 바랍니다.

Trojan-PWS/W32.WebGame.172307

다른이름(별칭)

Trojan.PWS.OnlineGames.KBVM[BitDefender], Trojan.Packed.NsAnti[Symantec]

현재 확산도

시스템 위험도

네트워크 확산도

잠재 위험도

활동 플랫폼

형식/종류

37|53

확산방법

12|24|25

대표적 증상

파일 생성, 레지스트리 변경, 게임 계정 유출 시도

생성파일(Drop Files)

autorun.inf, kva8wr.exe, pmut.bat, uweyiwe0.dll, bgotrtu0.dll

악성 코드 크기

172,307 바이트

특정 활동일

특정 활동일 없음

제작국가

발견일

2009-04-07

유사/변형 정보

진단/치료 엔진정보
및 온라인 검사

진단가능엔진
(안티바이러스)

2009.04.07.01

치료가능엔진
(안티바이러스)

2009.04.07.01


내용
[전체 요약] 원본의 복사본을 생성하며 레지스트리 값을 생성하여 자동으로 실행 되도록 한다. 사용자 몰래 특정게임의 계정정보를 유출하려는 시도를 한다. [확산 방법] 자체적인 확산기능은 갖고 있지 않으며, 메일의 첨부파일로 유포되거나, 해킹된 웹 사이트를 통해 OS나 응용 프로그램의 보안 취약점을 이용하여 유포되기도 한다. 또한, 이동식 저장매체를 통하여 확산되기도 한다. [감염 후 증상] 1. 다음의 경로에 파일을 생성한다. - (드라이브 루트)\autorun.inf (55 바이트, Script-INF/W32.AutoRun) - (드라이브 루트)\pmut.bat (172,307 바이트, Trojan-PWS/W32.WebGame.172307) - (윈도우 시스템 폴더)\uweyiwe0.dll (99,840 바이트, Trojan-PWS/W32.WebGame.99840.AH) - (윈도우 시스템 폴더)\bgotrtu0.dll (94,208 바이트, Trojan-PWS/W32.WebGame.94208.BQ) - (윈도우 시스템 폴더)\kva8wr.exe (172,307 바이트, Trojan-PWS/W32.WebGame.172307) 2. 다음의 레지스트리 키를 생성하여 윈도우의 익스플로러 실행 시 자동으로 실행되도록 한다. - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer\ Run\ - 이 름 : kvasoft - 데이터 : (윈도우 시스템 폴더)\kva8wr.exe 3. 숨김속성의 파일들을 사용자가 보지 못하게 하기 위해 다음과 같이 레지스트리를 수정한다. - HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced\ - 이 름 : "Hidden" - 데이터 : "2" - 이 름 : "ShowSuperHidden" - 데이터 : "0" - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced\ Folder\ Hidden\ SHOWALL\ - 이 름 : "CheckedValue" - 데이터 : "0" 4. 다음과 같은 특정 원격서버에 접속을 시도한다. - http://(생략).1.204.(생략)/ 5. uweyiwe0.dll 파일은 실행 중인 모든 프로세스에 삽입연동하여 동작한다. 특정 온라인 게임의 계정을 사용자 몰래 외부로 유출하려는 시도를 한다. 6. 드라이브 루트에 autorun.inf 파일을 생성하여 사용자가 루트 디렉토리에 접근할 경우 autorun.inf 파일이 지정하고 있는 파일이 자동으로 실행된다. 이동식 저장장치를 사용할 경우 해당 이동식 저장장치에도 악성코드가 autorun.inf 파일과 함께 복사됨으로써 다른 시스템으로 확산될 수 있다. [참고 사항] - (드라이브 루트)란 드라이브의 최상위 폴더이다. (예. C:\, D:\) - (윈도우 드라이브 루트)란 윈도우가 설치된 드라이브의 최상위 폴더이다. - (사용자 임시 폴더)란 일반적으로 C:\Documents and Settings\(사용자 계정)\Local Settings\Temp 이다. - (윈도우 폴더)란 일반적으로 95,98,ME에서는 C:\WINDOWS 이고, 2000, NT에서는 C:\WINNT, 윈도우XP에서는 C:\WINDOWS 이다. - (윈도우 시스템 폴더)란 일반적으로 95,98,ME에서는 C:\WINDOWS\SYSTEM 이고, 2000, NT에서는 C:\WINNT\SYSTEM32, 윈도우XP에서는 C:\WINDOWS\SYSTEM32 이다. - BHO(Browser Helper Objects)란 인터넷 익스플로러의 플러그인 형태로 추가되는 DLL모듈을 말하며, 추가된 모듈은 인터넷 익스플로러가 실행 시 같이 실행된다. - (주)잉카인터넷의 악성코드 명명법을 확인하려면 아래 버튼을 클릭한다.

치료 방법

[nProtect Netizen / nProtect Personal 으로 치료하기]

1. 사용 제품을 실행 후 상단의 ON-SCAN 버튼을 클릭한다.
2. 환경설정에서 모든 파일에 체크하고 검사시작 버튼을 클릭하여 검사를 시작한다.
3. 검사 종료 후 악성코드가 진단되면 치료 여부를 묻는 메시지 창의 예 버튼을 클릭하여 치료한다.
4. 치료된 항목을 확인한다.

[nProtect Antivirus 2.0 / nProtect Antivirus for Windows Server / nProtect Enterprise로 치료하기]

1. 사용 제품 실행 후 최신 엔진 및 패치 파일로 업데이트 한다.(메인화면. 트레이 아이콘, 시작메뉴 활용)
2. 메인화면에서 바이러스 검사 선택 후 검사할 범위을 지정하고 검사 시작 버튼을 클릭하여 검사를 시작한다.
3. 검사 종료 후 악성코드가 진단되면 진단된 항목을 확인하고 치료 버튼을 클릭하여 치료한다.
4. 치료된 항목을 확인한다.

[nProtect 홈페이지에서 치료하기]

nProtect 홈페이지에서 진단 및 치료하는 방법은 아래의 버튼을 클릭하여 확인한다.

본 분석자료의 모든 저작권은 ISARC(INCA Internet Security Analysis & Response Center)에 있으므로 무단 사용 및 도용을 금지합니다.

단, 비영리 또는 개인이 본 컨텐츠를 사용하는 것은 허용되고 있으나, 이 경우에는 정보의 출처를 반드시 밝혀야 하며, 상업적인 목적 또는 기업이 본 컨텐츠를 사용시에는 반드시 본사 컨텐츠 담당에게 사용 문의를 해야합니다.

정보 컨텐츠 이용 문의 : sale@inca.co.kr

최초 정보 입력 시간 | 2009.04.16 18:24 (GMT+9)

마지막 정보 수정 시간 | 2009.04.20 14:20 (GMT+9)