바이러스
홈 >
바이러스
>
바이러스
조회수 : 157
작성일 : 2008.07.10
| Dropper.MSExcel.176787 | |
| 작성자 | 허소영 |
|---|---|
| 내용 | Dropper.MSExcel.176787는 자체적인 전파 기능은 없으며, 이메일을 통해 엑셀 첨부파일 형태로 발송된다.
MS08-014의 Macro Validation Vulnerability (CVE-2008-0081) 취약점을 이용하며 엑셀 파일을 실행하게 되면 트로이목마가 드롭되어지고 특정 도메인으로 접속을 시도한다. [확산방법] Dropper.MSExcel.176787는 자체적인 전파 기능은 없으며, 이메일을 통해 엑셀 첨부파일 형태로 발송된다. MS08-014의 Macro Validation Vulnerability (CVE-2008-0081) 취약점을 이용하며 엑셀 파일을 실행하게 되면 트로이목마가 드롭되어지고 특정 도메인으로 접속을 시도한다. [감염 후 증상] 1. 감염된 시스템에서 다음과 같은 파일을 생성한다. (윈도우 시스템 폴더)\bdrmgr32.exe (Trojan.Win32.Agent.69862) 2. 다음의 서비스에 등록되어 재 부팅시에도 자동으로 실행된다. - 서비스 이름 : netmgmt - 표시 이름 : Network Performance Alerts 3. 시스템의 정상 프로세스인 lsass.exe가 bdrmgr32.exe 파일의 핸들을 열고, 특정 도메인으로 접속을 시도한다. - ne(생략).33(생략).org [표기법] - "(윈도우 시스템 폴더)" 란 시스템마다 다를 수 있으며 일반적으로 C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), C:\Windows\System32 (Windows XP) 이다. - "(윈도우 폴더)" 란 시스템마다 다를 수 있으며 일반적으로 C:\Windows (Windows 95/98/ME/XP), C:\WinNT (Windows NT/2000) 이다. 치료방법 [치료 방법] 1. WinXP/ME 사용자라면 시스템 복원 기능을 비활성화 한다. 시스템 복원 비활성화 방법 (WinXP) 시스템 복원 비활성화 방법 (WinME) 시스템 복원 기능을 비활성화 하는 이유는 깨끗하게 바이러스를 치료하기 위해서이다. 관련 정보는 MS 홈페이지 기술문서(Q263455)에서 확인할 수 있다. 2. 백신 엔진을 최신으로 업데이트 한다. 이 바이러스를 치료하기 위해서는 최신의 백신 엔진이 필요하다. 바이로봇 정식 사용자의 경우 : 홈페이지를 통해 업데이트 제품군을 통해 업데이트 바이로봇을 사용하지 않는 일반 고객 : 라이브콜(무료검사) 사이트를 이용한 바이러스 검사 바이로봇 30일 평가판 설치후 바이러스 검사 3. 바이러스 검사를 한다. 바이로봇을 실행하여, 검사 옵션에서 모든 파일 검사로 한다. 바이로봇 Expert 4.0 : [편집]->[환경설정]->[검사] : 모든파일 체크 바이로봇 Desktop 5.0 : [도구]->[환경설정]->[바이러스 검사] : 모든 파일 체크 라이브콜(무료검사) : [고급검사] : 체크 발견되는 모든 바이러스에 대해서 치료한다. [재부팅 후 자동 치료] 메시지가 나타났다면 재부팅을 한 후에 출처 : (주)하우리 |
| 첨부파일 | |
