[ PornTool.Agent.324096 ] 는 포르노 사이트에 접속하여 동영상을 출력하는 포르노 툴과 주기적으로 관련 사이트 접속 및 요금 결재를 유도하는 팝업 창을 출력하는 에이전트 툴로 구성되어 있다. 이는 사용자의 PC 에 직접적인 피해를 끼치지는 않지만, 포르노 사이트 접근을 유도하는 유해가능 프로그램 이다.

[ PornTool.Agent.324096 ] 에 감염 되면 아래 [ 그림 1. ] 과 같은 광고목적의 팝업 창이 주기적으로 출력되고, [ 그림 2. ] 와 같이 작업관리자의 프로세스 목록에 랜덤한 이름의 프로세스를 확인 할 수 있다.

[그림 1.] 주기적으로 출력되는 팝업 창.

[그림 2.] 사용자 모르게 실행되는 프로세스.

< 관련 URL >
http://203.233.***.***/
http://www.(생략)adult.com/

< 파일 >

[ PornTool.Agent.324096 ] 이(가) 생성하는 파일은 아래와 같다.
(시스템 폴더)\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\scOGyrLLggcJmuYI.html
(시스템 폴더)\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\scOGyrLLggcJmuYI.jpg
(시스템 폴더)\Com\GlcNFrqeDYfBJFUX.bat
(시스템 폴더)\Com\GlcNFrqeDYfBJFUX.exe

< 레지스트리 >

[ PornTool.Agent.324096 ] 이(가) 생성하는 레지스트리는 아래와 같다.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\www.(생략)adult.com: "C:\WINDOWS\system32\Com\GlcNFrqeDYfBJFUX.bat"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\www.(생략)adult.com.html: "C:\WINDOWS\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\scOGyrLLggcJmuYI.html"

< 표기법 >

"(모든 사용자계정 폴더)" 란 사용자 설정에 따라 다를 수 있으며 일반적으로
C:\Documents and Settings\(모든 사용자계정) 이다

"(바탕화면 폴더)" 란 운영체제마다 다를 수 있으며 일반적으로
C:\Documents and Settings\(사용자계정)\바탕 화면 이다.

"(빠른실행 폴더)" 란 운영체제(혹은 사용자)마다 다를 수 있으며 일반적으로
C:\Documents and Settings\(사용자계정)\Application Data\Microsoft\Internet Explorer\Quick Launch 이다.

"(임시 폴더)" 란 운영체제마다 다를 수 있으며 일반적으로
C:\Documents and Settings\(사용자계정)\Local Settings\Temp 이다.

"(프로그램 폴더)" 란 운영체제마다 다를 수 있으며 일반적으로
C:\Program Files 이다.

“(윈도우 폴더)” 란 운영체제마다 다를 수 있으며 일반적으로
C:\Windows 이다.

“(시스템 폴더)” 란 운영체제마다 다를 수 있으며 일반적으로
C:\Windows\System32 이다.

[ 그림 4. ] 사이트 접속 화면 1.

[ 그림 5. ] 사이트 접속 화면 2.

[ 그림 6. ] 사이트 접속 화면 3 (결재 페이지).

1. WinXP / ME 사용자라면 시스템 복원 기능을 비활성화 한다.

     a. 시스템 복원 비활성화 방법 (WInXP)
     b. 시스템 복원 비활성화 방법 (WinME)

시스템 복원 기능을 비활성화 하는 이유는 깨끗하게 바이러스를 치료하기 위해서이다. 관련 정보는 MS 홈페이지 기술문서(Q263455) 에서 확인 할 수 있다.

2. 백신 엔진을 최신으로 업데이트 한다.

이 바이러스를 치료하기 위해서는 최신의 백신 엔진이 필요하다.

     a. 바이로봇 정식 사용자의 경우 :
       - 홈페이지를 통해 업데이트
       - 제품군을 통해 업데이트
     b. 바이로봇을 사용하지 않는 일반 고객
       - 라이브콜(무료검사) 사이트를 이용한 바이러스 검사
       - 바이로봇 30일 평가판 설치 후 바이러스 검사

3. 스파이웨어 검사를 한다.

     a. 바이로봇을 실행하여, 환경 설정에서 스파이 / 애드웨어 검사를 한다.
       - Desktop 5.X : [도구]-[환경설정]-[스파이웨어 검사] 모든 파일 체크
       - 라이브콜(무료검사) : [고급검사] 체크
     b. 발견되는 모든 스파이웨어에 대해서 치료한다.
     c. [재부팅 후 자동 치료] 메시지가 나타났다면 재부팅을 한 후에 다시 검사한다.