[스크랩] Win-Trojan/Eldo.10240

Win-Trojan/Eldo.10240

최초 입력시간 : 2007. 09. 14 15:55 (GMT+9) 최종 수정시간 : 2007. 09. 14 16:37 (GMT+9)

위험도 보통 매우높음 보통 높음 다른이름   생성 파일명   대표적 증상 네트워크 트래픽 발생 활동 플랫폼 윈도우 감염/설치 경로 파일실행, 다른 악성코드 종류 트로이목마 형태 실행파일 들어오는 포트 나가는 포트 제작국 불분명 특정활동일 특정일 활동 없음 최초 발견일 2007-09-14 (현지시각 기준) 국내 발견일 2007-09-14  V3 대응정보 2007.09.14.01  엔진으로 이 바이러스를 진단할 수있습니다. 2007.09.14.01 엔진으로 이 바이러스를 치료할 수있습니다. 안철수연구소의 보안제품을 온라인으로 바로 구입하실 수 있습니다.   바이러스 진단 및 치료는 V3 제품군을 이용하시기 바랍니다. V3가 설치되어 있지 않은 고객께서는 V3 Internet Security 2007 Platinum 평가판을 무료로 이용하실 수 있습니다. 모든 V3 제품군의 최신 엔진 업데이트 내용을 여기에서 확인하실 수 있습니다.   증상 및 요약 Win-Trojan/Eldo.10240는 과도한 네트워크 트래픽을 유발하는 트로이목마의 한 종류이다. 해당 트로이목마는 특정 웹 사이트에 접속을 시도하는 과정에서 접속이 실패할 경우 지속적인 접속 요청 시도를 하게 된다. 이 과정에서 네트워크 트래픽이 과도하게 유발하게 된다.    상세정보 * 확산 정도 정보를 작성하는 2007년 9월 14일 16시 21분(GMT+9 기준) 현재 안철수연구소는 고객으로부터 다수의 감염 문의를 받았다. * 전파 경로 자체 전파 기능은 없으며 사용자가 파일을 다운로드해(메신저, 게시판, 자료실 등) 실행하거나 다른 악성코드(웜, 바이러스, 트로이목마)나 스파이웨어(애드웨어)에서 설치하는 것으로 보인다. * 실행 후 증상 Win-Trojan/Eldo.10240는 실행 압축되어 있으며 볼란드 델파이로 제작되었다. 해당 트로이목마가 실행되면 다음의 웹 사이트로 접속을 시도하게 된다. www.e-xxxx.com Win-Trojan/Eldo.10240가 실행이 되면 해당 웹 사이트로 접속을 시도하는 HTTP Request 패킷을 생성하게 된다. 그러나 정상적으로 접속이 되지 않을 경우에는 5초간의 sleep 이후 다시 HTTP Request 패킷을 생성하는 다른 스레드를 생성하게 된다. 해당 트로이목마는 이 과정에서 해당 웹 사이트로 접속이 되지 않게 되자 지속적으로 HTTP Request 패킷을 생성하는 스레드를 생성하게 되는 무한 루프를 만들게 된다. 이러한 문제로 인해 과도한 네트워크 트래픽을 생성하게 되어 분산 서비스 거부 공격과 유사한 형태를 만들게 된다. Win-Trojan/Eldo.10240의 다른 변형들로는 다음과 같은 트로이목마가 존재한다. Win-Trojan/Eldo.11264 Win-Trojan/Eldo.11264.B Win-Trojan/Eldo.11264.C Win-Trojan/Eldo.12288 Win-Trojan/Eldo.43008     치료법 * V3 Internet Security (2007 / 2007 Platinum / 7.0 Enterprise / 7.0 Platinum Enterprise) 사용자 1. 제품 실행 후 오른쪽 상단의 [업데이트]를 선택하거나 업데이트 파일을 통해 최신 엔진 및 패치 파일로 업데이트 한다. 2. 왼쪽 메뉴의 [바이러스 검사]를 선택 후 [검사하기]를 누른다. 3. 빠른 검사, 수동 검사, 사용자 목록 검사 중 검사 방법을 선택 후 [검사 시작]을 누른다. 4. 메모리에서 실행중인 악성코드가 발견되면 일반적으로 자동 치료(삭제)된다. 5. 메모리 검사와 파일 검사가 끝나면 진단 결과에 진단명이 나타난다. 여기서 '모두 선택'이나 개별 선택 후 [치료하기]를 눌러 진단된 악성코드를 치료(삭제)한다. 6. 치료 혹은 삭제 할때 추가/변경 된 레지스트리 값은 자동 수정된다. 7. 치료 실패 혹은 재감염이 발생할 경우 우선 안전모드로 부팅 후 치료해 본다. 계속 치료 실패 혹은 재감염 증상이 발생한다면 안리포트 결과와 함께 신고센터로 문의한다. * MyV3 사용자 1. MyV3 사이트( http://clinic.ahnlab.com/clinic/myv3.html 등)에 접속해 실행한다. 만약 MyV3의 액티브 X 컨트롤이 설치되어 있지 않다면 '보안 경고'창에서 '예'를 눌러 설치한다. 2. MyV3를 최신 버전으로 업데이트 된다. 3. 검사할 드라이브를 지정하고 [검사시작] 버튼을 눌러 검사를 시작한다. 4. 프로세스에서 실행중인 관련 악성코드가 진단되면 안내되는 메시지의 '강제종료후 치료' 선택한다. 종료된 악성코드는 자동 치료(삭제)된다. 5. 프로세스 검사와 지정 드라이브 검사가 끝나면 치료창이 보여진다. 여기서 '전체목 록치료' 버튼을 눌러 진단된 악성코드를 치료(삭제)한다. 6. 필요시 추가/변경 된 레지스트리 값은 자동수정된다. 7. 치료 실패 혹은 재감염이 발생할 경우 우선 안전모드로 부팅 후 치료해 본다. 계속 치료 실패 혹은 재감염 증상이 발생한다면 안리포트 결과와 함께 신고센터로 문의한다. * V3Pro 2002 Deluxe / V3Pro 2004 / V3Net for Windows Server 사용자 1. 사용 제품을 실행 후 [업데이트] 버튼이나 업데이트 파일을 통해 최신 엔진 및 패치 파일로 업데이트 한다. 2. 검사할 드라이브를 지정하고 검사를 시작한다. 3. 프로세스에서 실행중인 관련 악성코드가 진단되면 안내되는 메시지의 '강제종료후 치료' 선택한다. 종료된 악성코드는 자동 치료(삭제)된다. 4. 프로세스 검사와 지정 드라이브 검사가 끝나면 치료창이 보여진다. 여기서 '전체목록치료' 버튼을 눌러 진단된 악성코드를 치료(삭제)한다. 5. 필요시 추가/변경 된 레지스트리 값은 자동수정된다. 6. 치료 실패 혹은 재감염이 발생할 경우 우선 안전모드로 부팅 후 치료해 본다. 계속 치료 실패 혹은 재감염 증상이 발생한다면 안리포트 결과와 함께 신고센터로 문의한다.

출처 : ♣웹디자인소스카페♣[홈페이지]

글쓴이 : 정 하사™ 원글보기

메모 :