NB-Mailer메인게시판

종합 게시판

유해사이트신고는 "피해신고접수센터" 왼쪽아래의 "불건전사이트신고란"으로 신고하여주십시요.
기타 자세한 상황이나 필요한 내용은 여기에 글을 남겨주십시요.

성명: 관리자, 조회: 2377, 줄수: 70

[공지] '러브'바이러스보다 더욱 위험한 '핫키훅'바이러스 확산

안녕하세요!
한국사이버감시단입니다.

'러브'바이러스보다 더욱 위험한 '핫키훅'바이러스가 확산되고 있습니다.
감염된 컴퓨터 사용자의 모든 키값을 저장하여 훔쳐가는
백도어 형태의 신종 바이러스입니다.

TV나 지면등을 통해서 아시는 분들도 있겠지만
혹시나 해서 여기에 올립니다.

아래는 안철수 바이러스 연구소에서 발췌한것입니다.
치료방법은 5월 3일자 V3군 백신엔진부터 진단기능이 추가되었군요.

많은 도움 되었으면 합니다.
그럼 좋은하루 되시길...

한국사이버감시단 사무국 드림.

==========================================================================

Dropper/HotKeysHook은 한국산 트로이목마로
2000년 5월 스타크래프트의 맵핵 방지용 프로그램으로
위장해 올려졌다.
실행 파일은 635691 바이트의 길이를 가지고 있다.
하지만, 제작자는 다양한 이름의 변형들을 만들었을
것으로 추정된다.
파일을 실행하면 Windows 폴더에 TEMP#01.EXE, TEMP$01.EXE, SCANREGW.EXE (원래 파일은 지워짐)
파일을 만든다. 이후 재부팅하면 SCANREGW.EXE 파일이 자동실행되면서
이들 파일의 내용도 바뀌게 된다.
TEMP#01.EXE는 다음 번 부팅 때
Win-trojan/HotKeysHook으로 바뀌며 이 파일은
키보드 작동을 가로채고 있어 상대방이 어떤 작업을
하는지 알 수 있게 된다.
이 파일이 실행될 때 "H@tkeysh@@k.dll" 파일을
Windows 시스템 폴더(보통 C:\WINDOWS\SYSTEM)에 만든다.
TEMP$01.EXE는 정상적인 SCANREGW.EXE 파일로
이는CANREGW.EXE 파일은 부팅시 자동 실행되므로 다음번 부팅때 부터 항상 실행된다.
이 파일은 부팅때 마다 TEMP#01.EXE 파일의 존재 여부를 살펴 없으면 다시 만든다.
만약 사용자가 TEMP#01.EXE 파일을 수상히 여겨
삭제하더라도 부팅 될 때 다시 TEMP#01.EXE 파일이 만들어지므로 복구하기 어렵다.
"시스템정보"(시작 -> 프로그램(P) -> 보조프로그램 -> 시스템도구 -> 시스템 정보)로
실행중인 작업을 보면 "Temp#01.exe" 파일이 실행중인걸 알 수 있다.

치료방법

5월 3일자 이후의 V3 엔진에 진단 기능이 추가되었으며
치료 방법은 정상적인 SCANREGW.EXE 파일로 교체하거나 아래와 같은 방법을 사용하면 된다.
1. 2000년 5월 3일자 V3 엔진으로 검사해
"Win-Trojan/HotKeysHoK.137501이
진단되는지 검사한다.
2. C:\Windows 폴더에 TEMP$01.EXE나 ".EXE"
(빈공간 7칸)이 있는지 확인한다.
3. C:\Windows 폴더에 SCANREGW.EXE 파일을
삭제한다.
4. TEMP$01.EXE 파일의 이름을 SCANREGW.EXE로
변경한다.
5. 재 부팅한다.
6. C:\Windows 폴더에 TEMP#01.EXE나 TEMP$01.EXE을 삭제한다.

현재 TEMP#01.EXE, TEMP$01.EXE
파일이 " .EXE", " .EXE"
(빈공간임)파일을 생성하는 변형도 발견되었다.
이 변형의 경우 빈공간이 " .EXE"(빈공간이 7칸임)인
파일이 원래 SCANREGW.EXE 파일이다.

제발 답변 부탁 드립니다

주의! 일방적으로 상대방을 비방하는 글이나 욕설등을 사용하는 경우 경고없이 삭제될 수 있습니다.
이곳이 네티즌들의 다양한 커뮤니티의 공간으로 활용될 수 있도록 많은 협조 부탁드립니다.
"(사)한국사이버감시단" 2000 . 02