Anti-Virus Leader ViRobot

PSWTool.MessenPack.852992

다른이름	[Kaspersky Lab]not-a-virus:PSWTool.Win32.Messen.bh
대표적 증상	악의적인 사용가능,기타
발견일	국내 : 2009-04-21 해외 : 2009-04-21
분류	PSWTool	활동 범위
위험도/확산도	/	특정 활동일	--
제작국가	이탈리아	암호화 여부	비암호화
감염위치	파일실행,악성코드에 의해 다운로드	시스템 메모리 상주여부
바이로봇 대응정보	2009-4-21 [진단치료가능]

[Not_a_virus:PSWTool.MessenPack.852992] 는 사용자의 계정 및 개인 정보를 탈취하는 Not_a_virus:PSWTool.Messen.60928 과 SMTP 프로토콜을 이용하여, 사용자 모르게 BackGround 로 E-Mail 을 전송하는 Not_a_virus:Mailer.Blat.115200, 그리고 이 두 유해가능 프로그램이 유연하게 동작되도록 짜여진 Batch 파일 Not_a_virus:PSWTool.Component.531 로 구성되어 있다. 이 유해가능 프로그램 들은 악의적인 목적에 의해 사용 될 경우, 본래의 취지를 잃고 사용자의 정보보안에 치명적인 악영향을 미칠 수 있으므로, 유해가능 프로그램 으로 진단한다. [Not_a_virus:PSWTool.MessenPack.852992] 의 감염은, 다른 악성코드 / 사용자에 의해 실행 되어 감염된다. 감염 및 개인 정보 유출과정은 BackGround 로 동작되어 특별한 증상이 발견되진 않는다. 아래 Batch 파일을 통해 감염과정을 확인 해 볼 수 있다. [그림 1.] 유해가능 프로그램 구동을 위한 batch 파일 내용. [그림 2.] Text 파일로 저장된 사용자 정보. < 관련 악성코드 > Not_a_virus:PSWTool.Messen.60928 Not_a_virus:Mailer.Blat.115200 Not_a_virus:PSWTool.Component.531 < 관련 URL > http://out.***.it/ http://*.it/ < 파일 > [Not_a_virus:PSWTool.MessenPack.852992] 이(가) 생성하는 파일은 아래와 같다. blat.exe lancia.bat mspass.cfg mspass.exe Psw.txt trendy.jpg TRENDY~1.JPG TRENDY~2.JPG < 표기법 >** "(모든 사용자계정 폴더)" 란 사용자 설정에 따라 다를 수 있으며 일반적으로 C:\Documents and Settings\(모든 사용자계정) 이다 "(바탕화면 폴더)" 란 운영체제마다 다를 수 있으며 일반적으로 C:\Documents and Settings\(사용자계정)\바탕 화면 이다. "(빠른실행 폴더)" 란 운영체제(혹은 사용자)마다 다를 수 있으며 일반적으로 C:\Documents and Settings\(사용자계정)\Application Data\Microsoft\Internet Explorer\Quick Launch 이다. "(임시 폴더)" 란 운영체제마다 다를 수 있으며 일반적으로 C:\Documents and Settings\(사용자계정)\Local Settings\Temp 이다. "(프로그램 폴더)" 란 운영체제마다 다를 수 있으며 일반적으로 C:\Program Files 이다. “(윈도우 폴더)” 란 운영체제마다 다를 수 있으며 일반적으로 C:\Windows 이다. “(시스템 폴더)” 란 운영체제마다 다를 수 있으며 일반적으로 C:\Windows\System32 이다.
[그림 1.] MessenPass 프로그램 실행 화면. [그림 2.] blat 실행화면.

1. WinXP / ME 사용자라면 시스템 복원 기능을 비활성화 한다. a. 시스템 복원 비활성화 방법 (WInXP) b. 시스템 복원 비활성화 방법 (WinME) 시스템 복원 기능을 비활성화 하는 이유는 깨끗하게 바이러스를 치료하기 위해서이다. 관련 정보는 MS 홈페이지 기술문서(Q263455) 에서 확인 할 수 있다. 2. 백신 엔진을 최신으로 업데이트 한다. 이 바이러스를 치료하기 위해서는 최신의 백신 엔진이 필요하다. a. 바이로봇 정식 사용자의 경우 : - 홈페이지를 통해 업데이트 - 제품군을 통해 업데이트 b. 바이로봇을 사용하지 않는 일반 고객 - 라이브콜(무료검사) 사이트를 이용한 바이러스 검사 - 바이로봇 30일 평가판 설치 후 바이러스 검사 3. 스파이웨어 검사를 한다. a. 바이로봇을 실행하여, 환경 설정에서 스파이 / 애드웨어 검사를 한다. - Desktop 5.X : [도구]-[환경설정]-[스파이웨어 검사] 모든 파일 체크 - 라이브콜(무료검사) : [고급검사] 체크 b. 발견되는 모든 스파이웨어에 대해서 치료한다. c. [재부팅 후 자동 치료] 메시지가 나타났다면 재부팅을 한 후에 다시 검사한다.

  
                               World 
                                Wide
                            
                               North 
                                America
                            
                               Mexico/Chile
                            
                               Brazil
                            
                               India
                            
                               Others
                            
                               LiveCall(라이브콜)