1. 서론
키보드의 특정 키를 누르면 해당 키에 따라 특정 소리가 나는 조커(컴퓨터에 자체에 크게 나쁜 영향을 주지는 않지만 사용자를 놀라게 하는 악성 프로그램들을 말한다.)류의 악성코드에 대해서 알려드립니다.

* 조커(Joker)란 무엇인지 아래 URL에 자세한 정보가 있으니 참조해 주시기 바랍니다.

http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?menu_dist=3&seq=13338

2. 감염 시 증상
아래 그림은 한 포털 사이트 Q&A에 작성된 질문입니다.


      [그림 1] 한 포털 사이트 Q&A 페이지에 등록된 질문

해당 악성코드에 감염 시 나타나는 대표적인 증상은 특정 키 ( 스페이스 바, 엔터 키 등) 를 누르게 되면 그에 해당하는 특정 소리가 들리게 됩니다.


스페이스 바 : "야마꼬"
엔터 키 : "아하하하"
그 외 Tab, Delete 키 등

[표 1] 키보드 키에 따른 소리


또한 모니터링 툴 및 작업관리자, 레지스트리 편집기 등의 실행을 방해하여 동작하지 못하게 하는 기능도 있습니다.

0001B66C   0041C26C      0   procexp.exe
0001B680   0041C280      0   procmon.exe
0001B694   0041C294      0   autoruns.exe
0001B6AC   0041C2AC      0   KillProcess.exe
0001B6C4   0041C2C4      0   PrcInfo.exe
0001B6D8   0041C2D8      0   filemon.exe
0001B6EC   0041C2EC      0   regmon.exe
0001B700   0041C300      0   taskmgr.exe
0001B714   0041C314      0   HiJackThis.exe
0001B72C   0041C32C      0   avz.exe
0001B73C   0041C33C      0   phunter.exe
0001B750   0041C350      0   UnlockerAssistant.exe
0001B770   0041C370      0   Unlocker.exe
0001B788   0041C388      0   regedit.exe
0001B79C   0041C39C      0   msconfig.exe

[표 2] 실행을 방해하는 프로그램 리스트

생성되는 파일 및 변경되는 레지스트리 정보는 아래와 같습니다. 시스템 시작 시 자동 실행되게 설정하며 폴더 옵션 비활성화 및 숨김 속성을 준 후 숨김 속성을 변경하지 못하게 하며 작업관리자 등을 disabled 로 설정하게 됩니다.


[파일 생성]
C:\WINDOWS\system32\logo.scr
C:\WINDOWS\system32\drivers\servise.exe
C:\WINDOWS\system32\drivers\Cache\XXX.scr

[레지스트리 변경]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NvCplDeamon                                                                                         "C:\WINDOWS\system32\drivers\servise.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden                                                                                "0" 
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden                                                                       "0"
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt                                                                           "1" 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\NoFolderOptions                                                                       "1"
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr                                                                          "1" 


[표 3] 생성되는 파일 및 변경되는 레지스트리

3. 조치 방법
생성된 파일들은 동일한 파일이며 V3에서 아래와 같은 진단명으로 진단/치료가 가능합니다.

Win-Trojan/Agent.166912.BN






신고
Creative Commons License
Creative Commons License
Posted by 비회원