2007년 3월 27일부터 시스템을 부팅하면 로그온창에서 로그인하고 나면 다시 로그오프되어 버리는 문제가 발생했다.
결과적으로 시스템을 사용할 수 없다.
시스템 확인 결과 아래와 같이 레지스트리에 로그온 정보가 있어야 한다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
이름 : Userinit
데이터 : C:\WINDOWS\system32\userinit.exe,
하지만, 문제의 PC는 아래와 같이 userinit.exe 파일이 없다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
이름 : Userinit
데이터 : exe.exeexe.exeexe.exe
문제의 exe.exe를 분석결과 툴바를 다운로드하는 다운로더였다.
툴바가 설치되면 C:\Program Files\Op pro\sys32.dll, C:\Program Files\Op pro\sys.dll 이 BHO와 Toolbar 에 설치된다.
CLSID 값은 {537E69E9-ACE1-43e3-8659-06811DFE0BCC} 이다.
Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{537E69E9-ACE1-43e3-8659-06811DFE0BCC}
아마도 다운로더를 시스템에 등록하면서 실수로(....) userinit.exe 뒤에 붙여야 할 내용을 덮어쓴 것으로 보인다.
다음과 같은 변형이 알려져있다.
* 파일 정보
- 파일명 : Update.exe
- 파일길이 : 40,960 바이트
- MD5 : fbf9b238e24d41759b8661b283c6d330 Update.exe보
- 파일명 : exe.exe
- 파일길이 : 40,960 바이트
- MD5 : ddeaccbcf4014b2375d1920c13b711f5 exe.exe
'보안위협 (악성코드) > 악성코드 소식' 카테고리의 다른 글
| 새로운 Win-Trojan/Exploit-ANI.B (0) | 2007.04.24 |
|---|---|
| 새로운 변조된 ANI 파일을 이용한 공격 (1) | 2007.03.31 |
| Dellboy 변형 (0) | 2007.03.28 |
| MSN 메신저를 통해 photo album.zip 파일을 전송하는 ShadoBot (0) | 2007.03.26 |
| 안랩 ASP 폴더명을 바꿔 무력화 시도하는 악성코드 (0) | 2007.03.13 |