comine.exe (트로이 바이러스) > 기술자료 | 해피정닷컴

comine.exe (트로이 바이러스) > 기술자료

본문 바로가기

사이트 내 전체검색

comine.exe (트로이 바이러스) > 기술자료

Secure comine.exe (트로이 바이러스)

페이지 정보


본문

comine.exe

[ AhnLab.com ]
이름 : Win-Trojan/Hupigon.692224.AY
발견 : 2008년 10월 08일
유형 : 바이러스, 트로이목마, 백도어
위험 : 보통
감염 : 윈도우
V3 : 2008.12.16.00 엔진으로 이 바이러스를 진단 및 치료할 수있습니다.
상세정보 : http://kr.ahnlab.com/info/smart2u/virus_detail_26053.html

Win-Trojan/Hupigon.692224.AY 는 기존에 알려진 Win-Trojan/GrayBird 의 변형이다.
해당 트로이목마가 실행되면 감염된 컴퓨터의 정보를 빼내서 특정 호스트에 전송하거나 임의의 TCP 포트를 오픈 해서 공격자의 접속을 기다리는 백도어 기능이 있다.
또한 은폐기능을 제공해서 해당 악성코드의 프로세스, 파일, 레지스트리 정보를 숨기는 기능을 가지고 있다.

자체 전파 기능은 없으며 사용자가 메일, 메신저, 게시판, 자료실 등에서 실행 파일을 다운로드 해 실행하거나 다른 악성코드(웜, 바이러스, 트로이목마)에서 설치하는 것으로 보인다.


[ symantec.com ]
이름 : Trojan.Mdropper.T
발견 : 2006년 12월 13일
유형 : Trojan
위험 : Very Low
감염 : Windows XP, Windows 2000, Windows NT, Windows Me, Windows 98, Windows 95
상세정보 : http://www.symantec.com/security_response/writeup.jsp?docid=2006-121311-5725-99&tabid=1

Trojan.Mdropper.T is a Trojan horse that drops another threat on to the compromised computer by exploiting the unpatched Microsoft Word Unspecified Remote Code Execution Vulnerability (BID 21451).

Trojan.Mdropper.T가 (BID 21451)는 Microsoft Word가 패치되지 않고, 지정되지 않은 원격 코드 실행 취약점을 악용하여 컴퓨터에 또 다른 위협이 드랍스 트로이 목마입니다.

트로이 목마는 다음 이름으로 스팸 메일에 첨부 파일을로 도착할 수있습니다 :
[JAPANESE CHARACTERS].doc

일단 실행되면, 트로이 목마는 MS Word에서 취약점을 악용하고 다음 파일을 감염시킵니다 :
%Temp%\WINWORD.EXE (detected as Trojan.Dropper)

파일감염에 성공하면, 다음 파일을 생성하고 원래 파일은 삭제합니다 :
%Temp%\jp.exe (detected as Downloader)
%Temp%\[NUMBER].doc (a clean Microsoft Word file)

그런 다음 정상 winword.exe를 실행한후. %Temp%\[NUMBER].doc 를 작동시킵니다.

트로이 목마 다음 파일을 다운로드하기위해 다음 원격 호스트를 호출합니다 :
http://www.netassets.co.za/debt/images/jp_g.exe

트로이 목마 다음 파일을 생성합니다 :
%ProgramFiles%\jp_g.exe (a copy of Infostealer)
%System%\comine.exe (a copy of Infostealer)

위협은 다음과 같은 텍스트 파일을 키 로그 :
%System%\comine

또한 컴퓨터가 시작될때마다 다음과 같은 레지스트리를 생성합니다 :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{3B3C8333-38F3-E798-0504-080606050701}

Iexplore.exe의 숨겨진 인스턴스를 생성하고, 다음과 같은 호스트의 TCP 포트 53을 사용하여 연락을 시도합니다.
220.232.197.134


자료출처
http://www.symantec.com/security_response/writeup.jsp?docid=2006-121311-5725-99&tabid=2
http://kr.ahnlab.com/info/smart2u/virus_detail_26053.html

댓글목록

등록된 댓글이 없습니다.


Total 2,641건 105 페이지
  • RSS
기술자료 목록
561
그누보드   14024  2008-09-02 17:07 ~ 2014-11-12 00:00  
560
Secure   12743  2008-09-02 11:19  
559
PHP   16681  2008-08-27 17:46  
558
호스팅   16875  2008-08-27 17:35 ~ 2008-09-23 00:00  
557
ClassicASP   13533  2008-08-25 20:42  
556
ClassicASP   17237  2008-08-25 18:06  
555
영카트   22636  2008-08-12 14:59  
554
PHP   12515  2008-08-12 12:13  
553
일반   11177  2008-08-12 11:59  
552
일반   24318  2008-08-07 17:32  
551
HTML   12805  2008-08-06 15:14  
550
HTML   18498  2008-08-06 14:56  
열람
Secure   15364  2008-08-05 10:48 ~ 2009-07-25 00:00  
548
전자결제   16984  2008-08-04 12:24 ~ 2018-05-24 20:22  
547
ClassicASP   26989  2008-08-02 18:01 ~ 2016-10-21 00:00  
546
ClassicASP   15149  2008-08-02 18:01  
545
영카트   15034  2008-07-24 06:15  
544
영카트   13117  2008-07-24 06:14  
543
테크노트   11162  2008-07-22 10:23  
542
HTML   36276  2008-07-19 14:57  

검색

해피정닷컴 정보

회사소개 회사연혁 협력사 오시는길 서비스 이용약관 개인정보 처리방침

회사명: 해피정닷컴   대표: 정창용   전화: 070-7600-3500   팩스: 042-670-8272
주소: (34368) 대전시 대덕구 대화로 160 대전산업용재유통단지 1동 222호
개인정보보호책임자: 정창용   사업자번호: 119-05-36414
통신판매업신고: 제2024-대전대덕-0405호 [사업자등록확인]  
Copyright 2001~2024 해피정닷컴. All Rights Reserved.