네이버 바이러스 제로 까페 활동중에 문의글 <http://cafe.naver.com/fprot/27173 >이 올라와 파일을 확인하던중... 파일내 문서에 의구심이..
질문내역 일부
c드라이브 windows 폴더에 sapplet! 하구, Policies 라는 응용프로그램 파일이 있는데
수정한날짜도 보니까 몇일전으로 되어있고, 좀 의심스러워서
마우스우클릭 카스퍼스키 검사로 햇는데, 아무위험요소가 없다고 나오는군요,,
근데, sapplet! 파일을 더블클릭하니까 바로 카스퍼스키 경고창이 뜨면서 트로이목마 라고 나옵니다.
그래서 삭제버튼 누르면 C:\WINDOWS\Temp\WUPB.tmp 가 삭제되었다고 나오고,
c드라이브 windows 폴더에 있는 sapplet! 원본파일은 삭제가 안되는군요...
카스퍼스키가 c드라이브 windows 폴더에 있는 sapplet! 원본파일까지 찾아서 삭제 해야 하나요이하 중략~~~
======================================================================
일부 확인사항
======================================================================
확인한 파일
| 파일명 |
크기 |
| controls.exe | 197.120 |
| sapplet!.exe | 189,952 |
| Policies.exe | 189,952 |
확인사항 :
관련 정보 : http://kr.ahnlab.com/info/smart2u/virus_detail_10967.html
위에 제시된 파일은 파일명만 다를 뿐 동일한 파일이며, 해당파일들은 사용자컴에 생성시
파일명과 폴더위치가 랜덤하게 변하며, 매번 실행시마다 자신의 복사본을 특정폴더에 생성후
시작프로그램에 등록시킨다.
다시 말해 파일명은 랜덤하게 변함으로 위에 제시된 파일명은 의미가 없으며,
3개의 파일중 controls.exe 는 크기가 다른데 기능은 동일하며,
특정애드웨어를 다운로드하기위해 시작줄에 등록된다.
레지스터리내 등록되는 위치
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\S-1-5-21-448539723-1482476501-682003330-1003\
Software\Microsoft\Windows\CurrentVersion\Run
아래 내부 문서 제시한 것이외에도 특정 아이피 주소값이 입력되어 있었다.
해당 파일들의 일부 문자열
dd 0000003Ch
SWC00455934_plus_vaccine_com_update2_1013_:
unicode 'plus-vaccine.com/update2/1013/',0000h
db 00h;
db 00h;
dd FFFFFFFFh
dd 00000012h
SLP0045597C_C__Windows_addins_:
db 'C:\Windows\addins\'
Align 4
dd FFFFFFFFh
dd 00000014h
SLP00455998_C__Windows_AppPatch_:
db 'C:\Windows\AppPatch\'
Align 4
dd FFFFFFFFh
dd 00000012h
SLP004559B8_C__Windows_Config_:
아래 진단상황을 표기하였지만, 진단 내역은 의미가 없는 것으로 판단된다.
파일자체를 진단한 경우도 있지만..의심스러운 시작 등록상황만을 진단한 경우도
있기 때문에.. 파일자체는 삭제되지 않고, 부팅시마다 실행만 안되도록 조치가 취해지는 정도의 효과만 기대가 가능한 듯 합니다..
<진단상황>
1> Ahnlab SpyZero 2.0 / V3 Internet Security Platinum / 빛자루의 안티스파이웨어
진단로그 이며, 실제 진단상황과는 다를 수 있습니다.
진단명만 표기하려고 하였으나, 파일자체를 진단한 것이 아닌 시작줄 등록상황만을 진단하는
경우도 있어 진단내역 모두 표기..
Win-Downloader/Rogue.PlusVaccine.197120.B C:\WINDOWS\Temp\WUP177.tmp
Win-Downloader/Rogue.PlusVaccine.197120.B C:\WINDOWS\Temp\WUP176.tmp
Win-Downloader/Rogue.PlusVaccine.197120.B C:\WINDOWS\Temp\WUP171.tmp
Win-Downloader/Rogue.PlusVaccine.197120.B C:\Program Files\Common Files\Control.exe
Win-Downloader/Rogue.PlusVaccine.189952 HKCU\Software\Microsoft\Windows\CurrentVersion\Run "GrpConv"="c:\windows\system32\GrpConv.exe"
Win-Adware/Pgproject HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache "C:\WINDOWS\system32\run.exe"="RUN"
Win-Adware/Pgproject C:\WINDOWS\system32\RUN.exe
Win-Spyware/Inteter HKCU\Software\Microsoft\Windows\CurrentVersion\Run "run"="c:\windows\system32\RUN.exe"
Win-Spyware/CWS.Msconfd HKCU\Software\Microsoft\Windows\CurrentVersion\Run "Control"="c:\Program Files\Common Files\Control.exe"
2> 카스퍼스키 제품 / 네이버 툴바
controls.exe : Trojan-Downloader.Win32.Delf.cov
<해결책이 존재 할것인가?>
- 인터넷 서핑시 의심스러운 프로그램 설치를 비권장
--> 이런 류의 악성파일들은 특정프로그램의 번들형태로 설치되는 경우가 많기 때문.
- 평소에 제어판 - 추가삭제 등록상황을 미리 파악하고 관리하는 습관 중요.
- 평소에 시작 프로그램 등록상황을 미리 파악하고 관리하는 습관 중요.
- 파일명과 폴더위치가 랜덤하게 변하고, 그 파일의 크기도 조금식 변하는 경향이 있어.
보안제품이 완전히 막아주기를 기대하기가 힘들다.
'Analysis > 유포 프로그램' 카테고리의 다른 글
| Adware - Windows doublepoint ( 더블 포인트 )외 2종 - <1회> (0) | 2007.10.23 |
|---|---|
| Adware/Rogue - coolcode(쿨코드) 와 동반 설치되는 Adware 2종 (0) | 2007.10.21 |
| 유포되고 있는 Adware/Rogue - NVirus (0) | 2007.10.19 |
| 유포되고 있는 Adware/Rogue - 백신프로그램2007 (0) | 2007.10.16 |
| 유포되고 있는 Adware - Windows IE Address Security Component(KSVER0307) (0) | 2007.10.07 |
