|
|
Dropper/Autorun.106047 |
|
|
|
최초 입력시간 : 2009. 02. 09 15:37 (GMT+9) |
최종 수정시간 : 2009. 02. 09 15:37 (GMT+9) |
|
다른이름 |
Trojan.Win32.Inject.ofs |
생성 파일명 |
klif.sys, uret463.exe, lhgjyit0.dll, 1n.cmd, autorun.inf |
대표적 증상 |
시스템 관련, 네트워크 관련 |
활동 플랫폼 |
윈도우 |
감염/설치 경로 |
네트워크, 다운로드, 다른 악성코드 |
종류 |
트로이목마 |
형태 |
실행파일 |
들어오는 포트 |
|
나가는 포트 |
|
제작국 |
불분명 |
특정활동일 |
특정일 활동 없음 |
최초 발견일 |
2009-01-31 (현지시각 기준) |
국내 발견일 |
2009-01-31 |
V3
대응정보 |
2009.02.09.01 엔진으로
이 바이러스를 진단할 수있습니다. |
2009.02.09.01 엔진으로
이 바이러스를 치료할 수있습니다. |
|
안철수연구소의 보안제품을 온라인으로 바로 구입하실 수 있습니다.
|
|
바이러스 진단 및 치료는 V3 제품군을 이용하시기 바랍니다. V3가 설치되어 있지 않은 고객께서는 V3 Internet Security 2007 Platinum 평가판을 무료로 이용하실 수 있습니다.
|
|
모든 V3 제품군의 최신 엔진 업데이트 내용을 여기에서 확인하실 수 있습니다.
|
|
|
|
|
증상 및 요약 |
|
|
Dropper/Autorun.106047 는 윈도우의 자동실행 기능을 이용하여 전파하며, 악의적인 행동을 수행하는 트로이 목마이다.해당 트로이 목마가 실행 되면 윈도우 시스템 폴더에 uret463.exe, lhgjyit0.dll와 시스템 루트에 1n.cmd, autorun.inf윈도우 시스템 폴더\drivers에 klif.sys를 생성하고 자신을 서비스에 등록하여 윈도우 시작 시 자동으로 실행되게 한다. |
|
상세정보 |
|
|
* 전파 경로
|
이동형 저장장치에 생성한 파일을 통해 전파되거나 사용자가 메일, 메신저, 게시판, 자료실 등에서 실행 파일을 다운로드 해 실행하거나 다른 악성코드(웜, 바이러스, 트로이목마)에서 설치하는 것으로 보인다.
|
* 실행 후 증상
|
[파일 생성]
윈도우 시스템 폴더에 다음 파일을 생성한다.
- uret463.exe
- lhgjyit0.dll
주) 윈도우 시스템 폴더는 사용 윈도우에 따라 다르며 보통 윈도우 95/98/ME는 C:\Windows\System, 윈도우 NT/2000은 C:\WinNT\System32, 윈도우 XP는 C:\Windows\System32 폴더이다.
시스템 루트에 다음 파일을 생성한다.
- 1n.cmd
- autorun.inf
윈도우 시스템 폴더\drivers에 다음 파일을 생성한다.
- klif.sys
[서비스 등록]
레지스트리에 다음 값을 추가해 윈도우 시작 시 서비스로 자동 실행되게 한다.
HKEY_LOCAL_MACHINE\
SYSTEM\
ControlSet001\
Services\
KAVsys
ImagePath = 윈도우 시스템 폴더\drivers\klif.sys
|
|
|
치료법 |
|
|
* V3 Internet Security (2007 / 2007 Platinum / 7.0 Enterprise / 7.0 Platinum Enterprise) 사용자
1. 제품 실행 후 오른쪽 상단의 [업데이트]를 선택하거나 업데이트 파일을 통해 최신 엔진 및 패치 파일로 업데이트 한다.
2. 왼쪽 메뉴의 [바이러스 검사]를 선택 후 [검사하기]를 누른다.
3. 빠른 검사, 수동 검사, 사용자 목록 검사 중 검사 방법을 선택 후 [검사 시작]을 누른다.
4. 메모리에서 실행중인 악성코드가 발견되면 일반적으로 자동 치료(삭제)된다.
5. 메모리 검사와 파일 검사가 끝나면 진단 결과에 진단명이 나타난다. 여기서 '모두 선택'이나 개별 선택 후 [치료하기]를 눌러 진단된 악성코드를 치료(삭제)한다.
6. 치료 혹은 삭제 할때 추가/변경 된 레지스트리 값은 자동 수정된다.
7. 치료 실패 혹은 재감염이 발생할 경우 우선 안전모드로 부팅 후 치료해 본다. 계속 치료 실패 혹은 재감염 증상이 발생한다면 안리포트 결과와 함께 신고센터로 문의한다.
* MyV3 사용자
1. MyV3 사이트( http://kr.ahnlab.com/info/clinic/ 등)에 접속해 실행한다. 만약 MyV3의 액티브 X 컨트롤이 설치되어 있지 않다면 '보안 경고'창에서 '예'를 눌러 설치한다.
2. MyV3를 최신 버전으로 업데이트 된다.
3. 검사할 드라이브를 지정하고 [검사시작] 버튼을 눌러 검사를 시작한다.
4. 프로세스에서 실행중인 관련 악성코드가 진단되면 안내되는 메시지의 '강제종료후
치료' 선택한다. 종료된 악성코드는 자동 치료(삭제)된다.
5. 프로세스 검사와 지정 드라이브 검사가 끝나면 치료창이 보여진다. 여기서 '전체목
록치료' 버튼을 눌러 진단된 악성코드를 치료(삭제)한다.
6. 필요시 추가/변경 된 레지스트리 값은 자동수정된다.
7. 치료 실패 혹은 재감염이 발생할 경우 우선 안전모드로 부팅 후 치료해 본다. 계속 치료 실패 혹은 재감염 증상이 발생한다면 안리포트 결과와 함께 신고센터로 문의한다.
* V3Pro 2004 / V3Net for Windows Server 사용자
1. 사용 제품을 실행 후 [업데이트] 버튼이나 업데이트 파일을 통해 최신 엔진 및 패치 파일로 업데이트 한다.
2. 검사할 드라이브를 지정하고 검사를 시작한다.
3. 프로세스에서 실행중인 관련 악성코드가 진단되면 안내되는 메시지의 '강제종료후 치료' 선택한다. 종료된 악성코드는 자동 치료(삭제)된다.
4. 프로세스 검사와 지정 드라이브 검사가 끝나면 치료창이 보여진다. 여기서 '전체목록치료' 버튼을 눌러 진단된 악성코드를 치료(삭제)한다.
5. 필요시 추가/변경 된 레지스트리 값은 자동수정된다.
6. 치료 실패 혹은 재감염이 발생할 경우 우선 안전모드로 부팅 후 치료해 본다. 계속 치료 실패 혹은 재감염 증상이 발생한다면 안리포트 결과와 함께 신고센터로 문의한다.
|
|
컴퓨터를 쓰다가 그냥 컴이 아무작동도 안하고 다운이 되었습니다...
마우스는 돌아가는데 클릭도 안되고 키보드는 먹통이고..
안전모드에 들어가서 시작프로그램을 보니
uret463이라는게 등록이 되있더라구요..
외국 백신도 써봤지만 결국은 답도 없고
안철수연구소 홈페이지에서 검색해보니 해결방법이 나오더라구요
지워도 지워도 끝까지 나오는 지독한놈이던데 조심합시다