Secure comine.exe (트로이 바이러스)
페이지 정보
본문
comine.exe
[ AhnLab.com ]
이름 : Win-Trojan/Hupigon.692224.AY
발견 : 2008년 10월 08일
유형 : 바이러스, 트로이목마, 백도어
위험 : 보통
감염 : 윈도우
V3 : 2008.12.16.00 엔진으로 이 바이러스를 진단 및 치료할 수있습니다.
상세정보 : http://kr.ahnlab.com/info/smart2u/virus_detail_26053.html
Win-Trojan/Hupigon.692224.AY 는 기존에 알려진 Win-Trojan/GrayBird 의 변형이다.
해당 트로이목마가 실행되면 감염된 컴퓨터의 정보를 빼내서 특정 호스트에 전송하거나 임의의 TCP 포트를 오픈 해서 공격자의 접속을 기다리는 백도어 기능이 있다.
또한 은폐기능을 제공해서 해당 악성코드의 프로세스, 파일, 레지스트리 정보를 숨기는 기능을 가지고 있다.
자체 전파 기능은 없으며 사용자가 메일, 메신저, 게시판, 자료실 등에서 실행 파일을 다운로드 해 실행하거나 다른 악성코드(웜, 바이러스, 트로이목마)에서 설치하는 것으로 보인다.
[ symantec.com ]
이름 : Trojan.Mdropper.T
발견 : 2006년 12월 13일
유형 : Trojan
위험 : Very Low
감염 : Windows XP, Windows 2000, Windows NT, Windows Me, Windows 98, Windows 95
상세정보 : http://www.symantec.com/security_response/writeup.jsp?docid=2006-121311-5725-99&tabid=1
Trojan.Mdropper.T is a Trojan horse that drops another threat on to the compromised computer by exploiting the unpatched Microsoft Word Unspecified Remote Code Execution Vulnerability (BID 21451).
Trojan.Mdropper.T가 (BID 21451)는 Microsoft Word가 패치되지 않고, 지정되지 않은 원격 코드 실행 취약점을 악용하여 컴퓨터에 또 다른 위협이 드랍스 트로이 목마입니다.
트로이 목마는 다음 이름으로 스팸 메일에 첨부 파일을로 도착할 수있습니다 :
[JAPANESE CHARACTERS].doc
일단 실행되면, 트로이 목마는 MS Word에서 취약점을 악용하고 다음 파일을 감염시킵니다 :
%Temp%\WINWORD.EXE (detected as Trojan.Dropper)
파일감염에 성공하면, 다음 파일을 생성하고 원래 파일은 삭제합니다 :
%Temp%\jp.exe (detected as Downloader)
%Temp%\[NUMBER].doc (a clean Microsoft Word file)
그런 다음 정상 winword.exe를 실행한후. %Temp%\[NUMBER].doc 를 작동시킵니다.
트로이 목마 다음 파일을 다운로드하기위해 다음 원격 호스트를 호출합니다 :
http://www.netassets.co.za/debt/images/jp_g.exe
트로이 목마 다음 파일을 생성합니다 :
%ProgramFiles%\jp_g.exe (a copy of Infostealer)
%System%\comine.exe (a copy of Infostealer)
위협은 다음과 같은 텍스트 파일을 키 로그 :
%System%\comine
또한 컴퓨터가 시작될때마다 다음과 같은 레지스트리를 생성합니다 :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{3B3C8333-38F3-E798-0504-080606050701}
Iexplore.exe의 숨겨진 인스턴스를 생성하고, 다음과 같은 호스트의 TCP 포트 53을 사용하여 연락을 시도합니다.
220.232.197.134
자료출처
http://www.symantec.com/security_response/writeup.jsp?docid=2006-121311-5725-99&tabid=2
http://kr.ahnlab.com/info/smart2u/virus_detail_26053.html
[ AhnLab.com ]
이름 : Win-Trojan/Hupigon.692224.AY
발견 : 2008년 10월 08일
유형 : 바이러스, 트로이목마, 백도어
위험 : 보통
감염 : 윈도우
V3 : 2008.12.16.00 엔진으로 이 바이러스를 진단 및 치료할 수있습니다.
상세정보 : http://kr.ahnlab.com/info/smart2u/virus_detail_26053.html
Win-Trojan/Hupigon.692224.AY 는 기존에 알려진 Win-Trojan/GrayBird 의 변형이다.
해당 트로이목마가 실행되면 감염된 컴퓨터의 정보를 빼내서 특정 호스트에 전송하거나 임의의 TCP 포트를 오픈 해서 공격자의 접속을 기다리는 백도어 기능이 있다.
또한 은폐기능을 제공해서 해당 악성코드의 프로세스, 파일, 레지스트리 정보를 숨기는 기능을 가지고 있다.
자체 전파 기능은 없으며 사용자가 메일, 메신저, 게시판, 자료실 등에서 실행 파일을 다운로드 해 실행하거나 다른 악성코드(웜, 바이러스, 트로이목마)에서 설치하는 것으로 보인다.
[ symantec.com ]
이름 : Trojan.Mdropper.T
발견 : 2006년 12월 13일
유형 : Trojan
위험 : Very Low
감염 : Windows XP, Windows 2000, Windows NT, Windows Me, Windows 98, Windows 95
상세정보 : http://www.symantec.com/security_response/writeup.jsp?docid=2006-121311-5725-99&tabid=1
Trojan.Mdropper.T is a Trojan horse that drops another threat on to the compromised computer by exploiting the unpatched Microsoft Word Unspecified Remote Code Execution Vulnerability (BID 21451).
Trojan.Mdropper.T가 (BID 21451)는 Microsoft Word가 패치되지 않고, 지정되지 않은 원격 코드 실행 취약점을 악용하여 컴퓨터에 또 다른 위협이 드랍스 트로이 목마입니다.
트로이 목마는 다음 이름으로 스팸 메일에 첨부 파일을로 도착할 수있습니다 :
[JAPANESE CHARACTERS].doc
일단 실행되면, 트로이 목마는 MS Word에서 취약점을 악용하고 다음 파일을 감염시킵니다 :
%Temp%\WINWORD.EXE (detected as Trojan.Dropper)
파일감염에 성공하면, 다음 파일을 생성하고 원래 파일은 삭제합니다 :
%Temp%\jp.exe (detected as Downloader)
%Temp%\[NUMBER].doc (a clean Microsoft Word file)
그런 다음 정상 winword.exe를 실행한후. %Temp%\[NUMBER].doc 를 작동시킵니다.
트로이 목마 다음 파일을 다운로드하기위해 다음 원격 호스트를 호출합니다 :
http://www.netassets.co.za/debt/images/jp_g.exe
트로이 목마 다음 파일을 생성합니다 :
%ProgramFiles%\jp_g.exe (a copy of Infostealer)
%System%\comine.exe (a copy of Infostealer)
위협은 다음과 같은 텍스트 파일을 키 로그 :
%System%\comine
또한 컴퓨터가 시작될때마다 다음과 같은 레지스트리를 생성합니다 :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{3B3C8333-38F3-E798-0504-080606050701}
Iexplore.exe의 숨겨진 인스턴스를 생성하고, 다음과 같은 호스트의 TCP 포트 53을 사용하여 연락을 시도합니다.
220.232.197.134
자료출처
http://www.symantec.com/security_response/writeup.jsp?docid=2006-121311-5725-99&tabid=2
댓글목록
등록된 댓글이 없습니다.