:: 바이러스체이서 ::

head_sub02

HOME > 보안정보 > 바이러스

바이러스명	Trojan.PWS.Snap
형태	트로이 목마
전파방법	악성애드웨어 혹은 액티브액스 컨트롤에 의해 다운로드 되어지는것으로 보인다.
운영체제	Windows 플랫폼
정보작성일	2006-08-29
패턴 업데이트일	2006-07-27
별칭	Trojan-PSW.Win32.Sinowal, Trojan.Anserin
간략히
ㅇ 감염시스템의 시스템 정보 및 사용자가 입력한 인터넷 뱅킹 사이트의 접속ID 및 패스워드 등의 정보를 외부로 유출시킨다. ㅇ 감염시스템에서 실행중인 모든 프로세스에 인젝트 되어 동작한다. ㅇ 감염시스템에 존재하는 메일 클라이언트 및 FTP 클라이언트를 통해 외부로 정보를 유출시킨다. ㅇ 특정 포트를 열고 인가되지 않은 외부의 접근에 대기한다. (TCP 8886, TCP 8906)
조치방법
[사전예방] - 바이러스 체이서 실시간 감시기를 활성화 시킨다. [수동치료] A. 다음과 같은 레지스트리 값을 수정하여 Trojan.PWS.Snap이 자동으로 실행되지 못하도록 한다. [HKLM\SYSTEM32\CurrentControlSet\Winlogon] "shell" = "Explorer.exe, <공백생략> "%ProgramFiles%\Common Files\Microsoft Shared\Web Folder\ibm00001.exe""를 "shell" = "Explorer.exe"로 수정 [HKLM\SOFTWARE\Microsoft\Windows\CurruntVersion\Run] "shell"= "%ProgramFiles%\Common Files\Microsoft Shared\Web Folder\ibm00001.exe" 값 생략 B. 컴퓨터 재시작 C. Trojan.PWS.Snap의 구성파일 삭제 다음의 위치에 존재하는 Trojan.PWS.Snap의 구성파일들을 삭제한다. - %ProgramFiles%\Common Files\Microsoft Shared\Web Folder\ibm00001.exe - %ProgramFiles%\Common Files\Microsoft Shared\Web Folder\ibm00001.dll - %ProgramFiles%\Common Files\Microsoft Shared\Web Folder\ibm00002.dll - %systemroot%\kl1.exe - %systemroot%\temp\$_2341233.TMP
이전글	없음
다음글	없음

자세히
Trojan.PWS.Snap은 몇가지 종류의 변종이 존재하며 현재 작성되는 정보는 2006년 7월 27일 발견된 샘플을 기준으로 작성되었다. <설치/특징> ㅇ Trojan.PWS.Snap이 실행되면 다음과 같은 파일을 생성한다. 경로 : %ProgramFiles%\Common Files\Microsoft Shared\Web Folder\ - ibm00001.exe : Trojan.PWS.Snap으로 진단 - ibm00001.dll : 키입력 유출 - Trojan.PWS.Snap으로 진단 - ibm00002.dll : 백도어 기능 - Trojan.PWS.Snap으로 진단 * 기본적인 프로그램 설치폴더(%ProgramFiles%) -Windows 9X/ME/NT/2000/XP: C:\Program Files ㅇ 감염시스템과 관련된 정보를 수집하여 다음과 같은 파일에 기록한다. - %systemroot%\temp\$_2341233.TMP * 기본적인 윈도우 폴더(%systemroot%) -Windows 9X/ME: C:\Windows -Windows NT/2000: C:\Winnt -Windows XP: C:\Windows ㅇ $_2341233.TMP에는 다음과 같은 정보가 저장된다. - 감염시스템의 IP - 감염시스템에 저장되어있는 즐겨찾기 주소 <프로세스 인젝트> ㅇ Trojan.PWS.Snap은 실행중인 모든 프로세스에 다음과 같은 파일을 인젝트 시킨다. - ibm00002.dll : 감염시스템의 키보드 입력값을 감시하여 특정 사이트에서 사용자가 입력한 값을 외부로 유출시킨다. ㅇ 감염시스템의 explorer.exe에 다음의 파일을 인젝트 시킨다. - ibm00001.dll : explorer가 특정 포트를 열어 외부의 인가되지 않은 사용자가 접근할 수 있도록 한다. ㅇ ibm00001.dll에 의하여 explorer.exe가 오픈하는 포트번호는 다음과 같다. - TCP 8886 - TCP 8906 <정보 유출> ㅇ Trojan.PWS.Snap이 실행되면 다음과 같은 사이트로 접속을 시도한다. - 접속주소1 : kurva<생략>.com - 접속주소2 : hansy<생략>.com - 접속포트 : 80 ㅇ 접속이 성공한 사이트로 다음의 정보들을 Get 방식으로 전송한다. - 바이러스 버전정보 - 감염시스템의 IP - explorer.exe가 오픈중인 포트번호들 - 감염시스템이 위치한 국가 ㅇ 다음과 같은 파일을 다운로드 받는다. - %systemroot%\kl1.exe : Trojan.PWS.Snap으로 진단 : kl1.exe는 인터넷 뱅킹 사이트의 주소 값 등이 저장되어 있다. ㅇ ibm00002.dll은 감염시스템에서 kl1.exe에 포함된 인터넷 뱅킹 사이트에 사용자가 접속하는지 감시하며, 해당 사이트에서 사용자가 입력한 키보드 값을 다음의 파일에 추가한다. - $_2341233.TMP ㅇ 감염시스템에 다음과 같은 프로그램이 설치되어있는지 확인한다. - 이메일 클라이언트 : Outlook Express : Eudora : Thunder Bird : AK-Mail : TheBat - FTP 클라이언트 : Flash FXP : Total Command ㅇ 감염시스템에서 이러한 프로그램이 발견되면 해당 프로그램을 이용하여 수집된 정보를 외부로 유출시킨다. ㅇ 수집된 정보는 $_2341233.TMP 파일에 저장이 되며, 이를 외부로 유출시킬때에는 다음과 같은 파일명으로 변경시킨 후 전송한다. - data.str <자동 재시작> ㅇ Trojan.PWS.Snap은 윈도우 시작시 자동으로 시작되기 위하여 다음과 같이 레지스트리 값을 수정한다. [HKLM\SYSTEM32\CurrentControlSet\Winlogon] "shell" = "Explorer.exe, <공백생략> "%ProgramFiles%\Common Files\Microsoft Shared\Web Folder\ibm00001.exe"" [HKLM\SOFTWARE\Microsoft\Windows\CurruntVersion\Run] "shell"= "%ProgramFiles%\Common Files\Microsoft Shared\Web Folder\ibm00001.exe" Write-Up by j.y.Han
이전글	없음
다음글	없음