Anti-Virus Leader ViRobot

Trojan.Win32.PSWIGames.142848

다른이름
대표적 증상	악성코드 설치,정보유출,특정 파일 다운로드
발견일	국내 : 2010-01-21 해외 : 2010-01-21
분류	트로이목마	활동 범위	윈32
파괴도/확산도	/	특정 활동일	--
제작국가	중국	암호화 여부	비암호화
감염위치	없음	시스템 메모리 상주여부	비상주
바이로봇 대응정보	2010-01-20 [진단치료가능]

1. 악성코드에 감염되면 다음과 같은 경로에 파일을 생성합니다. (시스템폴더)\cyban.exe (시스템폴더)\ieban0.dll 또는 ieban1.dll (시스템폴더)\cyban0.dll 또는 cyban1.dll (루트)\wmebm.exe (루트)\autorun.inf 2. 악성코드는 아래와 같이 레지스트리를 추가 및 수정합니다. HKCU\Software\Microsoft\Windows\CurrentVersion\Run - cybansos : (시스템폴더)\cyban.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7F23592B-8F2C-4C08-83A8-BBE01BF9CC64} - (시스템폴더)\ieban.dll 을 BHO 에 등록 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL - CheckedValue : 0 HKU\(SID)\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ - Hidden : 2 HKU\(SID)\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ - ShowSuperHidden : 0 3. 생성된 ieban0.dll 또는 ieban1.dll 은 iexplorer.exe 에 인젝션되어 동작하며, 사용자 계정을 가로채는 목적으로 제작되었습니다. 목표로 하는 사이트는 다음과 같습니다. 12sky2.paran.com aion.plaync.co.kr c9.hangame.com df.nexon.com dho.netmarble.net fifaonline.pmang.com hangame.com id.hangame.com karos.paran.com knight.mgame.com lotro.hangame.com maplestory.nexon.com netmarble.net sp1.nexon.com tz.kr.gameclub.com wffm.mgame.com www.champagnemania.co.kr www.gptem.com www.hangame.com www.nate.com www.on3.co.kr www.pmang.com yulgang.mgame.com 4. 생성된 cyban0.dll 또는 cyban1.dll 은 모든 프로세스에 인젹션되어 동작하며, 사용자 계정을 가로채는 목적으로 제작되었습니다. 목표로 하는 프로세스는 다음과 같습니다. amo.exe : 카로스온라인 c9.exe : C9 darkeden.exe : 다크에덴 dnf.exe : 던전 앤 파이터 ge.exe : 그라나도에스파다 gersang.exe : 거상 goonzu.exe : 군주 InphaseNXD.EXE : 테일즈위버 maplestory.exe : 메이플스토리 Mir3Game.exe : 미르의 전설 3 pleione.dll : 마비노기 so3d.exe : 씰온라인 TwelveSky2.exe : 십이지천 2 winbaram.exe : 바람의 나라 wow.exe : 월드 오브 워크레프트 5. 또한 cyban0.dll 또는 cyban1.dll 은 특정프로세스의 동작을 방해합니다. 목표로 하는 프로세스는 다음과 같습니다. ALUSCHEDULERSVC.EXE ASHDISP.EXE avast.setup AVGNT.EXE AVGRSX.EXE avgupd.exe AVP.EXE AYAGENT.AYE AYUpdate.aye CCSVCHST.EXE eguiEmon.dll eguiEpfw.dll EKRN.EXE ekrnEmon.dll ekrnEpfw.dll luall.exe mcupdate.exe preupd.exe prupdate.ppl setup.ovr SfFnUp.exe UFSEAGNT.EXE UfUpdUi.exe update.exe updater.dll VCRMON.EXE VSTSKMGR.EXE vsupdate.dll 6. 악성코드는 웹사이트 http://www.yxhxo.x7x.com (2x2.1x1.1x5.1x7) 에서 특정파일을 다운로드 합니다. 1hg/ah1.rar 1hg/ah.rar


1. WinXP / ME 사용자라면 시스템 복원 기능을 비활성화 한다. a. 시스템 복원 비활성화 방법 (WInXP) b. 시스템 복원 비활성화 방법 (WinME) 시스템 복원 기능을 비활성화 하는 이유는 깨끗하게 바이러스를 치료하기 위해서이다. 관련 정보는 MS 홈페이지 기술문서(Q263455) 에서 확인 할 수 있다. 2. 백신 엔진을 최신으로 업데이트 한다. 이 바이러스를 치료하기 위해서는 최신의 백신 엔진이 필요하다. a. 바이로봇 정식 사용자의 경우 : - 제품군을 통해 업데이트 b. 바이로봇을 사용하지 않는 일반 고객 - 라이브콜(무료검사) 사이트를 이용한 바이러스 검사 - 바이로봇 7일 평가판 설치 후 바이러스 검사 3. 스파이웨어 검사를 한다. a. 바이로봇을 실행하여, 환경 설정에서 스파이 / 애드웨어 검사를 한다. - Desktop 5.X : [도구]-[환경설정]-[스파이웨어 검사] 모든 파일 체크 - 라이브콜(무료검사) : [고급검사] 체크 b. 발견되는 모든 스파이웨어에 대해서 치료한다. c. [재부팅 후 자동 치료] 메시지가 나타났다면 재부팅을 한 후에 다시 검사한다.

  
                               World 
                                Wide
                            
                               North 
                                America
                            
                               Mexico/Chile
                            
                               Brazil
                            
                               India
                            
                               Others
                            
                               LiveCall(라이브콜)