nProtect Anti-Virus for 2090 Worm

1. 진단 명
Rootkit.Win32.Agent.hcd, Trojan.Win32.Inject.oqw

2. 파일 크기
[랜덤숫자 5자리].sys - 4,096 바이트 / 예) 07834.sys
랜덤숫자 7자리 – 15,872 바이트 / 예) 8728820, system.exe, explorer.exe
Autorun.inf  - 106 바이트
  
3. 대표적 증상
- Trojan.Win32.Inject.oqw(System.exe)에 감염되면 자신과 동일한 C:\Windows\System32\2732335등의 자신과 동일한 파일을 확장자 없이 생성한다.

- C:\Documents and Settings\사용자계정\Local Settings\Temp에 [랜덤숫자5자리].sys를 생성한다. 특정 서버로 Query(syn_sent) 전송하며 접속을 시도한다.

- USB 이동식 디스크와 윈도우 취약점(MS08-067)과 윈도우 사용자 계정의 취약한 암호를 통해 전파되는 것으로 보인다.

 

- 파일 생성
C:\Windows\System32\에 랜덤한 7자리 숫자 파일을 생성
C:\Documents and Settings\사용자ID\Local Settings\Temp\에 랜덤한 5자리 숫자의 sys 파일을 생성

 

- USB 이동식 디스크를 삽입하면 Autourn.inf 와 explorer.exe을 생성하여 전파. 

 

 - 악성코드가 실행되면 특정 IRC 서버로 접속을 시도하며, 접속이 성공되면 IRC방장(Operator) 명령에 의해 추가적으로 악의적인 기능 수행.

 

 

4. 감염 / 설치 경로
감염된 USB 드라이브를 사용할 경우 자동실행으로 인한 감염 및 다른 악성코드에 의해 감염된다. 또한 윈도우 서버 서비스 관련 취약점(MS08-067)로 전파된다. 
 
5. 치료 방법
평소에 사용하시던 USB 메모리를 포함한 이동식 디스크를 연결한 후, PC그린을 이용하여 전체검사를 통해 진단/치료 합니다.

 

- Autorun.inf 파일 수동 삭제 방법
시작 > 실행 > cmd 를 입력하여 cmd 창을 실행 시킨 후 각각의 드라이브로 이동한 후 아래의 명령어를 순서대로 실행 시켜 autorun.inf 파일의 이름을 변경합니다.
C:\>attrib -h -s autorun.inf
C:\>rename  autorun.inf  autorun.old

 

6. 예방 방법
마이크로소프트의 최신 윈도우 보안 패치들을 반드시 설치하고, USB 드라이브 사용 시 주의를 요하며, PC그린의 실시간 감시기를 항상 실행 시켜 worm의 동작을 차단해야 합니다. 또한, 이동식 드라이브를 포함하여 자동실행을 사용하지 않는 것도 Autorun 관련 worm의 감염을 예방하는 방법 입니다.

전용백신 사용시 주의사항 입니다. 전용백신 사용 전에 반드시 확인하시기 바랍니다.

nProtect Anti-Virus for 2090 Worm

전용백신 사용시에는 반드시 사용하고 계신 각종 Anti-Virus 프로그램의 실시간 감시 기능을 Off 하신 후에 사용하셔야 합니다.

전용백신은 예방 기능이 제공되지 않으므로, 치료 후 반드시 실시간 감시 기능과 같은 예방기능이 제공되는 보안 프로그램을 설치하여 동일한 악성코드에 재 감염되는 일이 없도록 해야 합니다.(운영체제 보안취약점 패치도 필수)

전용백신 실행 중 다른 응용 프로그램의 실행은 피해주시기 바랍니다.

전용백신은 특수 악성코드에 대한 시스템 검사 및 치료 기능이외에 다른 기능은 제공하지 않습니다.

치료 가능한 악성코드	Trojan/W32.Agent.4096 Trojan/W32.Agent.15872
MD5 값	75d4416335e0d4b0b4e50fd076b11b22 * 변경된 MD5 값이 나타날 경우 변조 또는 다른 악성코드에 감염되었을 가능성이 있으므로 실행을 자제해야 합니다.
기 타	-

nProtectEAV2090.com