키보드의 특정 키를 누르면 해당 키에 따라 특정 소리가 나는 조커(컴퓨터에 자체에 크게 나쁜 영향을 주지는 않지만 사용자를 놀라게 하는 악성 프로그램들을 말한다.)류의 악성코드에 대해서 알려드립니다.
* 조커(Joker)란 무엇인지 아래 URL에 자세한 정보가 있으니 참조해 주시기 바랍니다.
http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?menu_dist=3&seq=133382. 감염 시 증상
아래 그림은 한 포털 사이트 Q&A에 작성된 질문입니다.
[그림 1] 한 포털 사이트 Q&A 페이지에 등록된 질문
해당 악성코드에 감염 시 나타나는 대표적인 증상은 특정 키 ( 스페이스 바, 엔터 키 등) 를 누르게 되면 그에 해당하는 특정 소리가 들리게 됩니다.
엔터 키 : “아하하하”
그 외 Tab, Delete 키 등
[표 1] 키보드 키에 따른 소리
또한 모니터링 툴 및 작업관리자, 레지스트리 편집기 등의 실행을 방해하여 동작하지 못하게 하는 기능도 있습니다.
0001B680 0041C280 0 procmon.exe
0001B694 0041C294 0 autoruns.exe
0001B6AC 0041C2AC 0 KillProcess.exe
0001B6C4 0041C2C4 0 PrcInfo.exe
0001B6D8 0041C2D8 0 filemon.exe
0001B6EC 0041C2EC 0 regmon.exe
0001B700 0041C300 0 taskmgr.exe
0001B714 0041C314 0 HiJackThis.exe
0001B72C 0041C32C 0 avz.exe
0001B73C 0041C33C 0 phunter.exe
0001B750 0041C350 0 UnlockerAssistant.exe
0001B770 0041C370 0 Unlocker.exe
0001B788 0041C388 0 regedit.exe
0001B79C 0041C39C 0 msconfig.exe
생성되는 파일 및 변경되는 레지스트리 정보는 아래와 같습니다. 시스템 시작 시 자동 실행되게 설정하며 폴더 옵션 비활성화 및 숨김 속성을 준 후 숨김 속성을 변경하지 못하게 하며 작업관리자 등을 disabled 로 설정하게 됩니다.
C:WINDOWSsystem32logo.scr
C:WINDOWSsystem32driversservise.exe
C:WINDOWSsystem32driversCacheXXX.scr
[레지스트리 변경]
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunNvCplDeamon “C:WINDOWSsystem32driversservise.exe”
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedHidden “0”
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedShowSuperHidden “0”
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedHideFileExt “1”
HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciesexplorerNoFolderOptions “1”
HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemDisableTaskMgr “1”
생성된 파일들은 동일한 파일이며 V3에서 아래와 같은 진단명으로 진단/치료가 가능합니다.
Win-Trojan/Agent.166912.BN
Categories:악성코드 정보