분도
Vundo| 공용명 | 분도 |
|---|---|
| 기술명 |
|
| 별칭 |
|
| 가족 | 분도 |
| 유형 | 멀웨어 |
| 서브타입 | 컴퓨터 웜 또는 트로이 목마 |
Vundo 트로이 목마(일반적으로 Vundo, Virtumonde 또는 Virtumondo로 알려져 있으며 MS Juan이라고도 한다)는 트로이 목마 또는 컴퓨터 웜으로 악성 스파이웨어 방지 프로그램에 대한 팝업과 광고를 유발하는 것으로 알려져 있으며, 성능 저하 및 서비스 거부를 포함한 일부 웹사이트에서 간헐적으로 다른 오동작을 일으킨다.구글과 페이스북.또한 다른 악성 프로그램을 호스트 컴퓨터에 전송하는 데도 사용된다.[2]이후 버전에는 루트킷과 랜섬웨어가 포함된다.[2]
감염
Vundo 감염은 일반적으로 트로이 목마가 있는 전자 메일 첨부 파일을 열거나 Java와 같은 인기 브라우저 플러그인의 취약성을 포함한 다양한 브라우저 공격을 통해 발생한다.많은 팝업이 AntiSpywareMaster, WinFixer, AntiVirus 2009와 같은 사기성 프로그램을 광고한다.
Virtumonde.dll브라우저 도우미 개체와 클래스 ID라는 두 가지 주요 구성 요소로 구성된다.이러한 각 구성요소는 HKEY LOCAL MICE 아래의 Windows 레지스트리에 있으며 파일 이름은 동적이다.vogus Browser Helper Objects 및 winlogon.exe, Explorer.exe 및 최근에는 lsass.exe에 연결된 DLL 파일을 사용하여 시스템에 부착된다.
Vundo, 바이러스 백신 방화벽의 비활성화에 대해 Windows경고를 억제하고, AutomaticUpdates서비스를 만약 수동으로 re-enabled 빠르게, 그리고 Malwarebytes의 Anti-Malware, Spybot 검색 및 공격할 그것 re-disables AutomaticUpdates서비스 된다, 전함을 레지스트리 항목 삽입합니다, Lavasoft Ad-Aware, HijackThis, 그리고 몇몇 다른 말.용품제거 도구번도픽스와 콤보픽스로부터 자주 몸을 숨긴다.가짜 바이러스 백신 제품을 밀어내기 보다는 다운로드 공격에 의한 드라이브에 대한 새로운 "add" 팝업은 주요 기업의 광고 복사본이며, 이를 단순히 닫기만 하면 드라이브 바이 다운로드 공격이 사용자 컴퓨터에 페이로드를 삽입할 수 있도록 조작한 것이다.
증상
봉도 트로이 목마는 여러 가지 종류가 있기 때문에 봉도의 증상은 비교적 양성인 것부터 중증인 것까지 매우 다양하다.거의 모든 종류의 Vundo는 어떤 종류의 팝업 광고와 삭제하기 어렵게 만들기 위해 자신을 응원하는 것을 특징으로 한다.
감염된 컴퓨터는 다음 증상의 일부 또는 전부를 나타낸다.
- Vundo는 감염된 웹 브라우저로 인해 광고가 뜨게 될 것이며, 이들 중 상당수는 시스템 "악화"를 해결하기 위한 소프트웨어가 필요하다고 주장한다.
- 바탕 화면 배경은 컴퓨터에 애드웨어가 있다는 설치 창의 이미지로 변경될 수 있다.
- 스크린세이버는 블루 스크린 오브 데스(Blue Screen of Death)로 변경될 수 있다.
- 디스플레이 속성 제어판에서는 레지스트리의 "숨기기" 값이 1로 변경되었기 때문에 배경 및 화면 보호기 탭이 누락되었다.
- 배경과 화면 보호기는 모두 System32 폴더에 있지만 화면 보호기는 삭제할 수 없다.
- Windows 자동 업데이트(및 기타 웹 기반 서비스)도 사용할 수 없으며 다시 켤 수 없다.
- 감염된 DLL 또는 DAT 파일("_c00369와 같은 임의의 이름 포함)AB.dat" 및 "slmnvnk.dll")은 Windows/System32 폴더에 표시되며 DLL에 대한 참조는 사용자의 시작(MSConfig에서 볼 수 있음), 레지스트리 및 Internet Explorer의 브라우저 추가 기능에서 찾을 수 있다.
- Vundo는 작업 관리자, 레지스트리 편집기 및 msconfig를 사용하지 않도록 설정하여 사용자가 제거하지 못하도록 하거나 다른 방법으로 작업을 방해하여 시스템이 안전 모드로 부팅되지 않도록 할 수 있다.
- 일부 방화벽 또는 바이러스 백신 소프트웨어도 Vundo에 의해 비활성화되어 시스템이 더욱 취약해질 수 있다.특히 노턴 안티바이러스(Norton AntiVirus)를 비활성화하고, 차례로 이를 이용해 감염을 확산시킨다.Norton은 피싱 필터를 활성화하기 위한 프롬프트를 단독으로 보여줄 것이다.OK를 누르면 real-av.org에 접속해 더 많은 악성코드를 다운받을 수 있다.
- Spybot – Search & Destreate 또는 멀웨어 바이트와 같은 인기 있는 악성 소프트웨어 방지 프로그램은 로딩 시 삭제되거나 즉시 닫힐 수 있다.프로그램 실행 파일의 이름을 바꾸는 것은 이 문제를 해결할 수 있다.맬웨어바이트의 실행 파일은 (시스템 감염에 따라) 설치되는 즉시 삭제될 수 있다.다른 컴퓨터에 프로그램을 설치하고 감염된 컴퓨터의 멀웨어바이트 디렉토리에 실행 파일을 복사하는 것도 보통 효과가 있다.
- 웹 액세스는 또한 부정적인 영향을 받을 수 있다.Vundo는 많은 웹사이트에 접속할 수 없게 만들 수도 있다.
- 검색 엔진 링크는 악성 보안 소프트웨어 사이트로 리디렉션될 수 있으며, 이는 복사 및 붙여넣기 주소로 피할 수 있다.
- MS Juan은 검색 세션 후 웹 페이지가 로드되지 않고 웹 페이지 대신 브라우저에 빈 페이지를 표시할 수 있다.이 경우 어떤 프로그램도 시작되지 않을 수 있고 윈도우 셧다운을 사용하는 것이 불가능해질 수 있다.
- 윈로그온에 의해 하드 드라이브에 지속적으로 액세스하기 시작할 수 있다.따라서 주기적인 얼음이 발생할 수 있다.
- 팝업을 표시하고 검색 결과에 프로모션을 주입하는 데도 효율적이다.
- 슈퍼에 대한 경고MWindow가 종료되지 않을 수 있다.[3]
- 탐색기.exe는 지속적으로 충돌하여 충돌 후 다시 시작하는 끝없는 고리가 발생할 수 있다.
- C:에 바이러스 중요 드라이버 생성:\Windows\system32\drivers(i0dgxx.sys).
- 이 바이러스는 사용 가능한 하드 드라이브 공간에서 "먹어 버릴" 수 있으며, 하드 드라이브 공간은 +3에서 -3Gb의 공간까지 변동할 수 있으며, 이는 Vundo가 반감을 가질 때 "도움"을 시도한 것을 보여준다.
- Vundo는 다운로드 진행을 방해할 수 있다.
- Hijack을 사용한 후 안전 모드로 전환실제 블루 스크린이 생성되어 삭제된 안전 모드 레지스트리 키를 복원하지 않으면 복구하거나 Windows 버전을 다시 설치하지 않으면 복구할 수 없음
- 임의로 명명된 DLL 중 일부가 삭제된 경우 바이러스는 때때로 "APP로 DLL 실행" 오류를 발생시킨다.
- 바이러스는 임의로 명명된 DLL을 기계에 상주하면서 다시 쓸 것이다.
- 바이러스 변경 \HKEY_LOCAL_Machine\Software\Microsoft\Windows\CurrentVersion\Windows가 시작될 때 자동으로 시작하려면 RunOnce 항목 실행 및 실행
- 그 바이러스는 때때로 포르노적인 애드웨어를 설치한다.
- 이 바이러스는 데스크탑 Defender 2010 및 보안 센터와 같은 악성 보안 소프트웨어를 설치하여 사용자에게 시스템이 감염되었음을 알리는 .wav 파일을 제공한다.
- 이 바이러스로 인해 네트워크 드라이버가 손상되어 레지스트리 편집기(regedit.exe)에 들어가 Winsock 1, 2를 삭제하고 드라이버를 다시 설치하려고 해도 사실상 불가능하다.
- 바이러스는 내 네트워크 플레이스에서 네트워크 연결을 삭제한다.
참조
- ^ https://mil.fireeye.com/edp.php?sname=Trojan.Vundo
- ^ a b Bell, Henry; Chien, Eric (March 17, 2010). "Trojan.Vundo". Symantec Security Response. Symantec. Retrieved March 14, 2012.
- ^ SuperMWindow - A New Vundo.
