바이러스/악성코드 정보 - [트로이] Troj/Banker-EMY

[트로이] Troj/Banker-EMY

2008.08.19 08:56:40

1952

이름 : Troj/Banker-EMY
구분 : 바이러스/스파이웨어
종류 : 트로이
영향받는 운영체제 : 윈도우
영향 : 레지스트리에 자신을 설치한다.

Troj/Banker-EMY는 윈도우 기반 트로이이다.

Troj/Banker-EMY가 설치되면 아래의 파일들이 생성된다.

<Program Files>\Internet Explorer\Help\WebEmpresas\nueva_imagen\favicon.ico
<Program Files>\Internet Explorer\Help\WebEmpresas\nueva_imagen\index.html
<Program Files>\Internet Explorer\Help\WebEmpresas\nueva_imagen\nada.htm
<Program Files>\Internet Explorer\Help\WebEmpresas\nueva_imagen\webempresas.htm
<Program Files>\Internet Explorer\Help\WebEmpresas\nueva_imagen\webempresas_data\Thumbs.db
<Program Files>\Internet Explorer\Help\WebEmpresas\nueva_imagen\webempresas_data\bs.gif
<Program Files>\Internet Explorer\Help\WebEmpresas\nueva_imagen\webempresas_data\btnEntrar.gif
<Program Files>\Internet Explorer\Help\WebEmpresas\nueva_imagen\webempresas_data\
candado_seguridad.gif
<Program Files>\Internet Explorer\Help\WebEmpresas\nueva_imagen\webempresas_data\css.css
<Program Files>\Internet Explorer\Help\WebEmpresas\nueva_imagen\webempresas_data\curso_seguridad.gif
<Program Files>\Internet Explorer\Help\WebEmpresas\nueva_imagen\webempresas_data\
fondo_login_rallado.gif
<Program Files>\Internet Explorer\Help\WebEmpresas\nueva_imagen\webempresas_data\logo_supernet.gif
<Program Files>\Internet Explorer\Help\WebEmpresas\nueva_imagen\webempresas_data\pixel.gif
<Program Files>\Internet Explorer\Help\WebEmpresas\nueva_imagen\webempresas_data\
tab_menu_activo_empresas_instituciones.gif
<Program Files>\Internet Explorer\Help\WebEmpresas\nueva_imagen\webempresas_data\
tab_menu_inactivo_particulares.gif
<Program Files>\Internet Explorer\Help\WebEmpresas\nueva_imagen\webempresas_data\
teclado_login_blanco.gif
<Program Files>\Internet Explorer\Help\WebEmpresas\nueva_imagen\webempresas_data\
teclado_login_mayus.gif
<Program Files>\Internet Explorer\Help\WebEmpresas\nueva_imagen\webempresas_data\
teclado_login_mayus_contras.gif
<Program Files>\Internet Explorer\Help\WebEmpresas\nueva_imagen\webempresas_data\
teclado_login_minus_contras.gif
<Program Files>\Internet Explorer\Help\WebEmpresas\nueva_imagen\webempresas_data\
teclado_login_minusculas.gif
<Program Files>\Internet Explorer\Help\__tmp_rar_sfx_access_check_81281
<Program Files>\Internet Explorer\Help\bog\sbi\favicon.ico
<Program Files>\Internet Explorer\Help\bog\sbi\index.html
<Program Files>\Internet Explorer\Help\bog\sbi\sbi.htm
<Program Files>\Internet Explorer\Help\bog\sbi\sbi_data\acjun.js
<Program Files>\Internet Explorer\Help\bog\sbi\sbi_data\acun.css
<Program Files>\Internet Explorer\Help\bog\sbi\sbi_data\bs.gif
<Program Files>\Internet Explorer\Help\bog\sbi\sbi_data\btnEntrar.gif
<Program Files>\Internet Explorer\Help\bog\sbi\sbi_data\candado_seguridad.gif
<Program Files>\Internet Explorer\Help\bog\sbi\sbi_data\curso_seguridad.gif
<Program Files>\Internet Explorer\Help\bog\sbi\sbi_data\fondo_login_rallado.gif
<Program Files>\Internet Explorer\Help\bog\sbi\sbi_data\logo_supernet.gif
<Program Files>\Internet Explorer\Help\bog\sbi\sbi_data\pesta_activo_particulares.gif
<Program Files>\Internet Explorer\Help\bog\sbi\sbi_data\pesta_inactivo_empresas.gif
<Program Files>\Internet Explorer\Help\bog\sbi\sbi_data\px.gif
<Program Files>\Internet Explorer\Help\bog\sbi\sbi_data\pxl.gif
<Program Files>\Internet Explorer\Help\bog\sbi\sbi_data\teclado_login_blanco.gif
<Program Files>\Internet Explorer\Help\bog\sbi\sbi_data\teclado_login_mayus.gif
<Program Files>\Internet Explorer\Help\bog\sbi\sbi_data\teclado_login_mayus_contras.gif
<Program Files>\Internet Explorer\Help\bog\sbi\sbi_data\teclado_login_minus_contras.gif
<Program Files>\Internet Explorer\Help\bog\sbi\sbi_data\teclado_login_minusculas.gif
<Program Files>\Internet Explorer\Help\bog\sbi\vacio.htm
<Program Files>\Internet Explorer\Help\cssa\Empresas.htm
<Program Files>\Internet Explorer\Help\cssa\Empresas.html
<Program Files>\Internet Explorer\Help\cssa\Satellite.htm
<Program Files>\Internet Explorer\Help\cssa\Satellite.html
<Program Files>\Internet Explorer\Help\cssa\favicon.ico
<Program Files>\Internet Explorer\Help\cssa\index_archivos\BrokerPub_SA.css
<Program Files>\Internet Explorer\Help\cssa\index_archivos\Satellite.htm
<Program Files>\Internet Explorer\Help\cssa\index_archivos\StaticBS.gif
<Program Files>\Internet Explorer\Help\cssa\index_archivos\StaticBS_002.gif
<Program Files>\Internet Explorer\Help\cssa\index_archivos\StaticBS_002emp.gif
<Program Files>\Internet Explorer\Help\cssa\index_archivos\StaticBS_003.gif
<Program Files>\Internet Explorer\Help\cssa\index_archivos\StaticBS_004.gif
<Program Files>\Internet Explorer\Help\cssa\index_archivos\StaticBS_004emp.gif
<Program Files>\Internet Explorer\Help\cssa\index_archivos\StaticBS_004pers.gif
<Program Files>\Internet Explorer\Help\cssa\index_archivos\StaticBSempree.gif
<Program Files>\Internet Explorer\Help\cssa\index_archivos\css.css
<Program Files>\Internet Explorer\Help\cssa\index_archivos\fondoEspacios.gif
<Program Files>\Internet Explorer\Help\cssa\index_archivos\gris_der.gif
<Program Files>\Internet Explorer\Help\cssa\index_archivos\ico_mano.gif
<Program Files>\Internet Explorer\Help\cssa\index_archivos\icocandado.gif
<Program Files>\Internet Explorer\Help\cssa\index_archivos\logo_SAN.gif
<Program Files>\Internet Explorer\Help\cssa\index_archivos\script.js
<Program Files>\Internet Explorer\Help\cssa\index_archivos\sepmenutop.gif
<Program Files>\Internet Explorer\Help\cssa\index_archivos\tabrightB.gif
<Program Files>\Internet Explorer\Help\cssa\index_archivos\tabrightBactivo.gif
<Program Files>\Internet Explorer\Help\cssa\index_archivos\upSAN.gif
<Program Files>\Internet Explorer\Help\error.htm
<Program Files>\Internet Explorer\Help\error.html
<Program Files>\Internet Explorer\Help\index.htm
<Program Files>\Internet Explorer\Help\winserv.exe
<Program Files>\Internet Explorer\Help\winserv32.exe

winserv.exe를 동작시키기 위해 아래의 레지스트리가 생성된다.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
IEWinserv
<Program Files>\Internet Explorer\Help\winserv.exe

아래의 레지스트리가 설정되면 인터넷 보안에 영향을 미친다.

HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\List
<Program Files>\Internet Explorer\Help\winserv32.exe
<Program Files>\Internet Explorer\Help\winserv32.exe:*:Enabled:@xpsp2res.dll,-22019

이 게시물을..