자유게시판입니다.
Virus 정보
Trojan.Win32.Okmate
다른이름 Win-Trojan/SystEntry.32768(Ahnlab)
분 류 / 활동범위 트로이목마 / 윈32
감염위치 없음 시스템 메모리 상주 여부 비상주
제작국가 대한민국 암호화 여부 비암호화
발견일 [국내] 2003-01-24 [해외] 보고사례없음
확산방법 메일
대표적증상 홈페이지 주소변경
특정 활동일 특정 활동일 없음 파괴/확산등급 ★★ / ★★★★
엔진버전 2003-01-24 [진단, 치료 가능 ]
♣ 설명
Trojan.Win32.Okmate는 2002년 11월경부터 발견되기 시작하여 현재 다양한 변형이 제작되어 배포되고 있다.
시스템을 파괴시키는 루틴이나 기능은 포함되어 있지 않지만, 실행시 특정 홈페이지로 인터넷 익스플로어의 홈페이지 주소를 변경시키는 증상이 있다.
[변형 사항]
* 2003년 1월 24일 : Trojan.Win32.Okmate.36864
증상은 첫번째 버전과 비슷하며 역시 특정 사이트에서 systemadv.exe을 받아오는데, 파일 크기가 40,960 바이트로 변경되었다. 변경 사항은 아래와 같다.
- 감염된 시스템을 재 부팅하면 마우스 포인터가 없어지는 현상이 보고 되었으나 실제 이 트로이목마로 인한 증상인지는 분석중에 있다.
- 레지스트리에 등록되는 값이 "WINTASK"로 변경되었다.
- 윈도우 폴더에 복사되는 파일명이 "winstarted.exe"로 변경되었다.
- 특정 URL에서 다운로드 받아 설치하는 파일 사이즈가 57,344 바이트로 변경되었다.
* 2003년 1월 24일자 긴급 업데이트 버전에서 진단 및 치료(삭제) 가능하다.
[확산 방법 및 감염 후 증상]
1.스팸메일에 포함되어있는 배너를 실행시키면 프로그램이 설치되는데, 이때 보안 경고창
을 띄우나 신뢰할 수 없는 인증이라는 경고창이 나타난다.
이때 "예" 버튼을 클릭하면 프로그램을 설치하는데, 우선 윈도우 폴더에 "systementry.exe"
라는 이름으로 파일을 복사한다. 이후, 특정 URL에서 "SystemAdv.exe"파일을 다운로드 받아 윈도우 시스템폴더에 설치하고 실행하는데, 이 파일은 이 트로이가 정해놓은 특정 서버에서 메일제목,보내는사람,보낼사람,메시지 본문등을 읽어와 메일을 자동으로 발송하는 기능을 지니고 있다.
2.레지스트리에 윈도우 폴더에 생성된 "systementry.exe"파일을 레지스트리에 등록시켜부팅시마다 자동으로 실행되도록 한다.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 줄에
이 름 : SYSTEMENTRY
데이터 : (윈도우 폴더)\systementry.exe
[기 타]
1.바이로봇에서 변형에 대한 진단 및 제거 기능을 지속적으로 추가 하고 있으나,이 트로이를 배포하는 사이트에서도 계속 새로운 버전을 배포하고 있다. 그러므로 신뢰할 수 없는 프로그램은 설치하지 않는것이 좋다.
2.표기되어 있는 국내 발견일은 마지막 변형이 발견된 날짜로 계속해서 갱신된다.
*최초 작성 : 2003년 1월 23일 오후 3시 HAURI Inc.
*마지막 수정 : 2003년 1월 24일 오후 3시 50분 HAURI Inc.
♣ 치료방법
- 2002년 11월경에 발견된 버전은 2002년 12월 4일자 이상에 엔진에서 진단 및 제거 기능이 추가되었으며, 새로 발견된 변형에 대해서는 2003년 1월 24일자 긴급 업데이트 버전에서 진단 및 제거 기능을 제공한다.
근데요... 안철수보다 하누리에서 더 빨리 나왔네요...
안철수가 빠를줄 알았는데...
Trojan.Win32.Okmate
다른이름 Win-Trojan/SystEntry.32768(Ahnlab)
분 류 / 활동범위 트로이목마 / 윈32
감염위치 없음 시스템 메모리 상주 여부 비상주
제작국가 대한민국 암호화 여부 비암호화
발견일 [국내] 2003-01-24 [해외] 보고사례없음
확산방법 메일
대표적증상 홈페이지 주소변경
특정 활동일 특정 활동일 없음 파괴/확산등급 ★★ / ★★★★
엔진버전 2003-01-24 [진단, 치료 가능 ]
♣ 설명
Trojan.Win32.Okmate는 2002년 11월경부터 발견되기 시작하여 현재 다양한 변형이 제작되어 배포되고 있다.
시스템을 파괴시키는 루틴이나 기능은 포함되어 있지 않지만, 실행시 특정 홈페이지로 인터넷 익스플로어의 홈페이지 주소를 변경시키는 증상이 있다.
[변형 사항]
* 2003년 1월 24일 : Trojan.Win32.Okmate.36864
증상은 첫번째 버전과 비슷하며 역시 특정 사이트에서 systemadv.exe을 받아오는데, 파일 크기가 40,960 바이트로 변경되었다. 변경 사항은 아래와 같다.
- 감염된 시스템을 재 부팅하면 마우스 포인터가 없어지는 현상이 보고 되었으나 실제 이 트로이목마로 인한 증상인지는 분석중에 있다.
- 레지스트리에 등록되는 값이 "WINTASK"로 변경되었다.
- 윈도우 폴더에 복사되는 파일명이 "winstarted.exe"로 변경되었다.
- 특정 URL에서 다운로드 받아 설치하는 파일 사이즈가 57,344 바이트로 변경되었다.
* 2003년 1월 24일자 긴급 업데이트 버전에서 진단 및 치료(삭제) 가능하다.
[확산 방법 및 감염 후 증상]
1.스팸메일에 포함되어있는 배너를 실행시키면 프로그램이 설치되는데, 이때 보안 경고창
을 띄우나 신뢰할 수 없는 인증이라는 경고창이 나타난다.
이때 "예" 버튼을 클릭하면 프로그램을 설치하는데, 우선 윈도우 폴더에 "systementry.exe"
라는 이름으로 파일을 복사한다. 이후, 특정 URL에서 "SystemAdv.exe"파일을 다운로드 받아 윈도우 시스템폴더에 설치하고 실행하는데, 이 파일은 이 트로이가 정해놓은 특정 서버에서 메일제목,보내는사람,보낼사람,메시지 본문등을 읽어와 메일을 자동으로 발송하는 기능을 지니고 있다.
2.레지스트리에 윈도우 폴더에 생성된 "systementry.exe"파일을 레지스트리에 등록시켜부팅시마다 자동으로 실행되도록 한다.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 줄에
이 름 : SYSTEMENTRY
데이터 : (윈도우 폴더)\systementry.exe
[기 타]
1.바이로봇에서 변형에 대한 진단 및 제거 기능을 지속적으로 추가 하고 있으나,이 트로이를 배포하는 사이트에서도 계속 새로운 버전을 배포하고 있다. 그러므로 신뢰할 수 없는 프로그램은 설치하지 않는것이 좋다.
2.표기되어 있는 국내 발견일은 마지막 변형이 발견된 날짜로 계속해서 갱신된다.
*최초 작성 : 2003년 1월 23일 오후 3시 HAURI Inc.
*마지막 수정 : 2003년 1월 24일 오후 3시 50분 HAURI Inc.
♣ 치료방법
- 2002년 11월경에 발견된 버전은 2002년 12월 4일자 이상에 엔진에서 진단 및 제거 기능이 추가되었으며, 새로 발견된 변형에 대해서는 2003년 1월 24일자 긴급 업데이트 버전에서 진단 및 제거 기능을 제공한다.
근데요... 안철수보다 하누리에서 더 빨리 나왔네요...
안철수가 빠를줄 알았는데...
큰밥그릇
동대수석합격생
