Windows2009.exe !!!

+요즘들어 왜이리 온갖 악성코드 바이러스 등등이 판 치는지.. 귀찮다



[정보출처: http://acc.pdbox.co.kr/virus_view.asp?list=/newvirus.asp&seq=32657]

Windows2009.exe

Win32/Autorun.worm.693248.B
다른이름: Trojan.Inject.GO, Backdoor.Win32.Hupigon, Worm:Win32/Autorun.PP
위험도: 2 (2면 높은건가?ㅇㅇ;)
확산위험도: 4 등급
현재확산도: 3 등급
종류: 드롭퍼
감염영역: 실행파일
감염OS: 윈도우 95 (난 xp인데 ㅠㅠ)
감염경로: 다운로드,다른 악성코드
검사: Y, 치료: N

[증상]
win32/autorun.worm.693248.b 는 윈도우의 자동실행 기능을 이용하여 전파하며, 악의적인 행동을 수행하는 트로이 목마이다. 해당 트로이 목마가 실행 되면 윈도우 프로그램 파일 폴더\common files\microsoft shared\msinfo\에 setupway.txt, windows2009.exe, 시스템 루트\에 autorun.inf, 각 드라이버 시스템 루트\에 windows2009.exe, 윈도우 프로그램 파일 폴더\에 _windows2009.exe를 생성하고 자신을 레지스트리와 서비스에 등록하여 윈도우 시작 시 자동으로 실행되게 한다.

[내용]
* 전파 경로
이동형 저장장치에 생성한 파일을 통해 전파되거나 사용자가 메일, 메신저, 게시판, 자료실 등에서 실행 파일을 다운로드 해 실행하거나 다른 악성코드(웜, 바이러스, 트로이목마)에서 설치하는 것으로 보인다.

* 실행 후 증상
[파일 생성]
윈도우 프로그램 파일 폴더\common files\microsoft shared\msinfo\에 다음 파일을 생성한다.
- setupway.txt
- windows2009.exe(자기복제)
시스템 루트\에 다음 파일을 생성한다.
- autorun.inf

시스템 루트\에 다음 파일을 생성한다. (각 드라이버에 생성)
- windows2009.exe(자기복제)

윈도우 프로그램 파일 폴더\에 다음 파일을 생성한다.
- _windows2009.exe(자기복제)

[서비스 등록]
레지스트리에 다음 값을 추가해 윈도우 시작 시 서비스로 자동 실행되게 한다.
hkey_local_machine\
system\
controlset001\
services\
windows.2009
displayname = "windows.2009"


hkey_local_machine\
system\
controlset001\
services\
windows.2009
imagepath = "c:\program files\common files\microsoft shared\msinfo\windows2009.exe"





+
Windows2009.exe 치료 불가라고 뜬다
파일 안지워진다 ㅠㅠ
큰 문제를 일으키고 있진 않은데 아무튼 뭔가 찜찜하고 불안하다

저 레지스트리부분을 청소해 버리면 되는걸까?




덧글

  • kosmos 2010/05/05 14:23 # 답글

    오토런 바이러스는 따로 치료법이있던거같은데..
댓글 입력 영역