번호 | 제목 | 등록일 | |
---|---|---|---|
152 | 온라인게임 계정정보 유출 스파이웨어 주의 요망. - 2010-02-11 | ||
2010-02-19 | |||
최근들어 온라인게임 계정정보를 유출하는 스파이웨어가 다수 발견되고 있습니다. 취약한 웹서버에 IFRAME이 삽입되어 개인 PC는 물론 웹서버에도 감염되고 있습니다. 아래 내용을 참고하시어 업무에 참고하시기 바랍니다. ■ 제목 : 온라인게임 계정정보 유출 스파이웨어 ■ 점검 대상 파일 C:\p0crvg.exe C:\autorun.inf C:\v1oy9a2u.exe C:\WINDOWS\system32\zoorfat.exe C:\WINDOWS\system32\zormn0.dll C:\WINDOWS\system32\zorie0.dll C:\WINDOWS\system32\cyban.exe C:\WINDOWS\system32\ieban0.dll C:\WINDOWS\system32\zhido.exe C:\WINDOWS\system32\cao220.dll C:\WINDOWS\system32\cao110.dll C:\Windows\system32\softqq0.dll C:\Windows\system32\ahndoor0.dll C:\DOCUME~1\jjung\LOCALS~1\Temp\ah1.rar C:\Documents and Settings\Username\Local Settings\Temporary Internet Files\Content.IE5\STUZE3K1\ah[1].rar (실행파일명은 변경될 수 있으며, DLL의 경우 숫자만 변경(cao220.dll -> cao221.dll)될 수 있음) ■ 악성파일로 인해 등록된 BHO Browser Helper Objects : 7F23592B-8F2C-4C08-83A8-BBE01BF9CC64 Browser Helper Objects : C8414FA0-BA90-4600-B7EA-0CEFAF5A0636 ■ BHO 란? BHO(Browser Helper Object)는 Internet Explorer Browser에서 지원하지 못하는 기능을 지원하기 위하여 Plug-in 형태로 Internet Explorer에 추가되는 DLL 모듈을 뜻합니다. BHO는 Registry 위치에 Clss ID를 등록합니다. ■ BHO 점검 방법 1. Registry에서 점검 -BHO 확인 : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ 에서 확인 - BHO의 CLSID 정보 확인 : HKEY_CLASSES_ROOT\CLSID\ 2. BHO Check 프로그램을 통한 점검 BHO Check 프로그램을 이용하여 점검하시기 바랍니다. 백신프로그램 설치 및 최신버전으로 엔진 업데이트 현재 백신프로그램에서 탐지 못하고 있는 파일도 많습니다. 감염이 의심되는 경우에는 수동점검으로 필히 확인하시기 바랍니다. ■ 그 외 참고사항 1. C드라이브에서 autorun.inf 파일이 발견되었으므로 이동식저장장치(USB 등)를 통해 전파가 될 수 있습니다. explorer 등 모든 process에 인젝션될 수있으므로 이동식저장장치 사용을 자제하여 주시기 바랍니다. 2. 악성파일들 대부분의 속성이 숨김 파일입니다. 숨김파일 및 폴더를 표시하여 확인하시고 cmd를 실행하시어 dir /ah (숨김 파일 보기) 명령을 통해 확인하시기 바랍니다. |