(주)에브리존 :: 바이러스 · 악성코드 없는 세상

보안IT뉴스

보안권고문

보안Tip

보안처방

보안위협DB 찾기

보안위협DB찾기

목록 |

윗글 |

아랫글

Trojan-W32/LineageHack

바이러스 종류

Trojan

실행환경

Windows

발견일

2005년05월19일

제작지

중국

위험등급

보통

확산방법

네트워크, 보안취약성

바이러스 크기

49,577 byte 외 다양함

첨부파일

메일제목

증상요약

특정 온라인 게임의 계정 정보를 취합하여 지정된 이메일로 발송된다.

치료방법

터보백신 제품군으로 진단/치료 가능합니다.

상세설명

스스로 전파되는 능력은 없으나 Browser Helper Object 와 윈도우 취약점을 이용 하여 익스플로러에 포함되거나, 웹페이지의 스크립트(iframe 태그이용)에 포함되는 등의 여러가지 전파방법을 사용한다.

특정 온라인 게임의 아이디와 비밀번호 입력시 키보드값을 가로채어
텍스트 파일에 기록, 특정 메일주소로 전송해 일부 개인정보 유출 위험을
내포하고 있다.

또한 윈도우 시스템 폴더(windows 98,me : c:\windows\system, windows XP: c:\windows\system32,

windows 2000: c:\winnt\system32) 에서 netble.exe, winzx32.exe, hoo.dll, winwy.exe, Cndll.dll, logo.dll, hzdll.dll, c:\windows 폴더에서 rundll32.exe(49,577 byte),또는 c:\windows 폴더에서 rundll32.exe(49,625 byte), c:\windows\system32 폴더에서 Internat.exe(49,577byte) 등 파일도 다양하게 생성한다.

그리고 다음 처럼 레지스트리를 추가하여 부팅시 자동 실행되게 조작한다.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
항목에
[windows 9x]
Runtt1 = C:\windows\system\Internat.exe

[windows xp]
Runtt1 = C:\windows\system32\Internat.exe

[windows 2000]
Runtt1 = C:\winnt\system32\Internat.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Browser Helper Objects\
항목에
{1E6918EA-351F-4501-A346-2942144DE626}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{0AB57312-FF76-405E-9013-C6244D31AE2D}\1.0\0\win32

항목에

(기본값) = C:\windows\system32\Syshlp.dll

explorer.exe 또는 iexplorer.exe 에 포함되어 실행되기 때문에

터보백신으로 치료시 해당 프로그램의 종료후 치료가 필요하다.

그리고 다음의 링크에서 보안패치를 받아 윈도우운영체제의
업데이트를 실행해야 한다.

[MS04-013 취약점]
http://www.microsoft.com/korea/technet/security/bulletin/MS04-013.asp

[MS05-001 취약점]
http://www.microsoft.com/korea/technet/security/bulletin/MS05-001.mspx

예방 및 수동조치방법

안전모드로 부팅 하십시요.

안전모드는 컴퓨터 전원을 넣은후 메모리 체크가 끝나면

키보드 버튼중 f8을 몇번 눌러 봅니다.

부팅 메뉴가 나오는데 여기서 safe mode(안전모드)를

선택 하여 부팅 합니다.

우선 윈도우 시스템 폴더(windows 98,me : c:\windows\system, windows XP: c:\windows\system32,

windows 2000: c:\winnt\system32) 에서 netble.exe, winzx32.exe, hoo.dll, winwy.exe,

Cndll.dll, logo.dll, hzdll.dll 파일을 삭제 하십시요.

hzdll.dll 파일은 winwy.exe 파일이 삭제되지 않으면

삭제할수 없습니다.

그리고 c:\windows 폴더에서 rundll32.exe(49,577 byte),

또는 c:\windows 폴더에서 rundll32.exe(49,625 byte),

c:\windows\system32 폴더에서 Internat.exe(49,577byte) 파일을 삭제 하십시요.

또는 c:\windows\system32 폴더에서 Internat.exe(49,625byte) 파일을 삭제 하십시요.

비슷한 이름의 정상 파일이 있으므로 크기를 꼭 확인 하십시요.

삭제가 안되는 exe 파일이 있으면

ctrl-alt-del 키를 한꺼번에 누르면 작업관리자가 실행됩니다.

프로세스 탭을 선택 하시고 삭제가 안되는 exe 파일이

실행중인지 확인하십시요.

확인이 되면 선택후 [프로세스 종료] 버튼을 클릭 하십시요.

다음으로 [시작]->실행에서

"msconfig"를 치신후 엔터

시스템 구성유틸리티가 나오면

"시작 프로그램" 탭을 클릭 하여

(windows xp)

loadMewy = c:\Windows\System32\winwy.exe

Runtt1 = "C:\windows\System32\Internat.exe"

"Menet" = "C:\WINDOWS\System32\netble.exe"

(windows 98, me 인 경우)

loadMewy = c:\Windows\System\winwy.exe

Runtt1 = "C:\windows\System\Internat.exe"

"Menet" = "C:\WINDOWS\System\netble.exe"

부분이 실행 되는 항목을 찾아 체크를

해제 하신후에 [확인] 버튼을 클릭 하신후

윈도우를 재부팅 하십시요.