nProtect.co.kr - 인터넷 PC 보안 1위

바이러스 정보

취약점 분석

보안상식

윈도우 업데이트 안내

윈도우 쉽게 사용하기

정보보호 길잡이

바이러스 달력

Home > 보안컨텐츠

각종 바이러스에 대한 내용과 치료방법에 대한 정보를 드리는 곳입니다.

아래 바이러스 목록 외에 찾고자 하는 바이러스를 검색해 보시기 바랍니다.

Trojan/W32.Buzus.101376

다른이름(별칭)

Trojan.Buzus.CT[BitDefender], W32.SillyFDC[Symantec], WORM_NEERIS.A[TrendMicro]

현재 확산도

시스템 위험도

네트워크 확산도

잠재 위험도

활동 플랫폼

형식/종류

확산방법

12|14|20|24|25|31

대표적 증상

파일 생성, 레지스트리 수정, 특정 사이트 접속시도

생성파일(Drop Files)

services.exe, sysdrv32.sys

악성 코드 크기

101,376 바이트

특정 활동일

특정 활동일 없음

제작국가

발견일

2009-04-05

유사/변형 정보

- Trojan/W32.Buzus.451584.C
- Trojan/W32.Buzus.716288.E
- Trojan/W32.Buzus.437760.C
- Trojan/W32.Buzus.691712

진단/치료 엔진정보
및 온라인 검사

진단가능엔진
(안티바이러스)

2009.04.06.01

치료가능엔진
(안티바이러스)

2009.04.06.01


내용
[전체 요약] 원본의 복사본을 생성하며 레지스트리 값을 생성하여 윈도우 시작시 자동으로 실행 되도록 한다. 윈도우의 방화벽 설정을 변경하며 사용자 몰래 다수의 특정 사이트에 접속을 시도한다. 하지만 현재는 사이트가 차단되어 추가적인 악성코드의 다운로드는 이루어지지 않고있다. [확산 방법] 자체적인 확산기능은 갖고 있지 않으며, 메일의 첨부파일로 유포되거나, P2P, 해킹된 웹 사이트를 통해 OS나 응용 프로그램의 보안 취약점을 이용하여 유포되기도 한다. 또한, 이동식 저장매체를 통하여 확산되기도 하며 메신저의 인스턴트 메시지를 통해 전파 되기도한다. [감염 후 증상] 1. 다음의 경로에 파일을 생성한다. - (윈도우 시스템 폴더)\drivers\sysdrv32.sys (11,656 바이트, Worm/W32.AutoRun.11656) - (윈도우 폴더)\system\services.exe (101,376 바이트, Trojan/W32.Buzus.101376) 2. 다음의 레지스트리 값들을 생성하여 윈도우 시작과 함께 자동으로 실행되도록 한다. - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run\ - 이 름 : netmon - 데이터 : (윈도우 폴더)\system\services.exe - HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ sysdrv32\ - 이 름 : ImagePath - 데이터 : \??\(윈도우 시스템 폴더)\drivers\sysdrv32.sys 3. 다음의 레지스트리 값들을 생성하여 안전모드로 부팅시 자동으로 실행되도록 한다. - HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ SafeBoot\ Network\ SVCWINSPOOL\ - 이 름 : 기본값 - 데이터 : "Service" - HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ SafeBoot\ Minimal\ SVCWINSPOOL\ - 이 름 : 기본값 - 데이터 : "Service" 4. 다음의 레지스트리 값을 생성하여 윈도우 방화벽 설정을 변경한다. - HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ SharedAccess\ Parameters\ FirewallPolicy\ StandardProfile\ AuthorizedApplications\ List - 이 름 : (윈도우 폴더)system\services.exe - 데이터 : "(윈도우 폴더)\system\services.exe::Enabled:services" 5. 다음과 같은 다수의 특정 원격서버에 접속을 시도한다. - http://(생략).(생략).86.17/ - http://(생략).(생략).119.237/ - http://(생략).(생략).91.243/ - http://(생략).(생략).31.28/ - http://(생략).(생략).162.140/ - http://(생략).(생략).36.253/ - http://(생략).(생략).167.110/ - (생략) 6. Trojan/W32.Buzus.101376 감염시 생성된 sysdrv32.sys파일은 숨김속성으로 되어있으며, 루트킷 동작을 하여 마찬가지로 감염시 생성된 services.exe프로세스를 숨기는 동작을 한다. [참고 사항]* - (드라이브 루트)란 드라이브의 최상위 폴더이다. (예. C:\, D:\) - (윈도우 드라이브 루트)란 윈도우가 설치된 드라이브의 최상위 폴더이다. - (사용자 임시 폴더)란 일반적으로 C:\Documents and Settings\(사용자 계정)\Local Settings\Temp 이다. - (윈도우 폴더)란 일반적으로 95,98,ME에서는 C:\WINDOWS 이고, 2000, NT에서는 C:\WINNT, 윈도우XP에서는 C:\WINDOWS 이다. - (윈도우 시스템 폴더)란 일반적으로 95,98,ME에서는 C:\WINDOWS\SYSTEM 이고, 2000, NT에서는 C:\WINNT\SYSTEM32, 윈도우 XP에서는 C:\WINDOWS\SYSTEM32 이다. - BHO(Browser Helper Objects)란 인터넷 익스플로러의 플러그인 형태로 추가되는 DLL모듈을 말하며, 추가된 모듈은 인터넷 익스플로러가 실행 시 같이 실행된다. - (주)잉카인터넷의 악성코드 명명법을 확인하려면 아래 버튼을 클릭한다.

치료 방법

1. 사용 제품 실행 후 최신 엔진 및 패치 파일로 업데이트 한다.(메인화면. 트레이 아이콘, 시작메뉴 활용)
2. 메인화면에서 바이러스 검사 선택 후 검사할 범위을 지정하고 검사 시작 버튼을 클릭하여 검사를 시작한다.
3. 검사 종료 후 악성코드가 진단되면 진단된 항목을 확인하고 치료 버튼을 클릭하여 치료한다.
4. 치료된 항목을 확인한다.

본 분석자료의 모든 저작권은 ISARC(INCA Internet Security Analysis & Response Center)에 있으므로 무단 사용 및 도용을 금지합니다.

단, 비영리 또는 개인이 본 컨텐츠를 사용하는 것은 허용되고 있으나, 이 경우에는 정보의 출처를 반드시 밝혀야 하며, 상업적인 목적 또는 기업이 본 컨텐츠를 사용시에는 반드시 본사 컨텐츠 담당에게 사용 문의를 해야합니다.

정보 컨텐츠 이용 문의 : sale@inca.co.kr

최초 정보 입력 시간 | 2009.04.29 17:25 (GMT+9)

마지막 정보 수정 시간 | 2009.04.29 17:25 (GMT+9)