‘야마꼬!’ 키보드를 누르면 특정 소리가 들린다?
키보드의 특정 키를 누르면 해당 키에 따라 특정 소리가 나는 조커(컴퓨터에 자체에 크게 나쁜 영향을 주지는 않지만 사용자를 놀라게 하는 악성 프로그램들을 말한다.)류의 악성코드에 대해서 알려드립니다.
* 조커(Joker)란 무엇인지 아래 URL에 자세한 정보가 있으니 참조해 주시기 바랍니다.
http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?menu_dist=3&seq=133382. 감염 시 증상
아래 그림은 한 포털 사이트 Q&A에 작성된 질문입니다.
[그림 1] 한 포털 사이트 Q&A 페이지에 등록된 질문
해당 악성코드에 감염 시 나타나는 대표적인 증상은 특정 키 ( 스페이스 바, 엔터 키 등) 를 누르게 되면 그에 해당하는 특정 소리가 들리게 됩니다.
엔터 키 : “아하하하”
그 외 Tab, Delete 키 등
[표 1] 키보드 키에 따른 소리
또한 모니터링 툴 및 작업관리자, 레지스트리 편집기 등의 실행을 방해하여 동작하지 못하게 하는 기능도 있습니다.
0001B680 0041C280 0 procmon.exe
0001B694 0041C294 0 autoruns.exe
0001B6AC 0041C2AC 0 KillProcess.exe
0001B6C4 0041C2C4 0 PrcInfo.exe
0001B6D8 0041C2D8 0 filemon.exe
0001B6EC 0041C2EC 0 regmon.exe
0001B700 0041C300 0 taskmgr.exe
0001B714 0041C314 0 HiJackThis.exe
0001B72C 0041C32C 0 avz.exe
0001B73C 0041C33C 0 phunter.exe
0001B750 0041C350 0 UnlockerAssistant.exe
0001B770 0041C370 0 Unlocker.exe
0001B788 0041C388 0 regedit.exe
0001B79C 0041C39C 0 msconfig.exe
생성되는 파일 및 변경되는 레지스트리 정보는 아래와 같습니다. 시스템 시작 시 자동 실행되게 설정하며 폴더 옵션 비활성화 및 숨김 속성을 준 후 숨김 속성을 변경하지 못하게 하며 작업관리자 등을 disabled 로 설정하게 됩니다.
C:WINDOWSsystem32logo.scr
C:WINDOWSsystem32driversservise.exe
C:WINDOWSsystem32driversCacheXXX.scr
[레지스트리 변경]
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunNvCplDeamon “C:WINDOWSsystem32driversservise.exe”
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedHidden “0”
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedShowSuperHidden “0”
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedHideFileExt “1”
HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciesexplorerNoFolderOptions “1”
HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemDisableTaskMgr “1”
<
div>
3. 조치 방법
생성된 파일들은 동일한 파일이며 V3에서 아래와 같은 진단명으로 진단/치료가 가능합니다.
Win-Trojan/Agent.166912.BN