해커즈뉴스 / 해커대학

Donation bitcoin(기부용 비트코인 주소)

 
1Pq3K39XM5xx4CifGKgppXeavtWNNHH7K4
 
기부하신 비트코인은 "보안 취약 계층"을 위해 사용되고 있습니다.
 
 

Donation bitcoin(기부용 비트코인 주소)

 
1Pq3K39XM5xx4CifGKgppXeavtWNNHH7K4
 
기부하신 비트코인은 "보안 취약 계층"을 위해 사용되고 있습니다.
 

공지

 

1. MS 엣지 브라우저에서의 경고창은 '윈도우 디펜더'를 끄시면 됩니다.

             '윈도우 디펜더 끄기'

2. 크롬 브라우저로 접속시 나오는 악성코드 경고창은 구글 크롬의 에러, 즉 오탐(탐지 오류)이므로 무시하시면 됩니다.

3. 이 사이트는 안전하며 깨끗하다는 것을 알려 드립니다.

4. 무고한 사이트들에 대한 공룡 기업 브라우저들의 무차별적인 '탐지 오류 횡포'가 사용자들의 정보 공유의 자유를 침해하고 있습니다. 이에 대응하여 이 기업들을 상대로 소송을 준비하고 있습니다.

 



해커즈뉴스 제공 바이러스 경보
2004/6/27(일)
트로이-하이재커  
바이러스/웜 명칭 : Berbew
하이재커 명칭 : webrebate, btv
발령일시 : 6월27일
바이러스 유형 : 트로이
위험도 : 중
해당시스템 : 윈도
하이재커 : webrebate/btv 2종류는 하이재커로써 Ad-aware 나 다간다고 제거한다.
Backdoor.Berbew.G attempts to steal cached passwords and may display fake windows to gather confidential information.

 
Variants:  Backdoor.Berbew.F
Type:  Trojan Horse
Infection Length:  46,080 bytes (exe), 6,657 bytes (dll)
 
 
 
Systems Affected:  Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
Systems Not Affected:  DOS, Linux, Macintosh, OS/2, UNIX

=====

When Backdoor.Berbew.G is executed is performs the following actions:


It creates a mutex "QueenKarton_12", which ensures only one instance of the trojan is running at one time.


It creates the following copy of itself:

%System%\<8 random characters>.exe


It drops a DLL file called <8 random characters>.dll in the %System% directory.


It creates several files in the %Temp% directory named <8 random characters>.htm. It opens Internet Explorer with the names of these .htm files as parameters, when the file opens it may access a predetermined URL.


It sets the following values in the registry:


HKEY_CLASSES_ROOT\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32\(Default) = <8 random characters>.dll
HKEY_CLASSES_ROOT\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32\ThreadingModel = Apartment
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\Web Event Logger = {79FEACFF-FFCE-815E-A900-316290B5B738}
HKEY_CURRENT_USER\Software\Microsoft\QueenKarton = 0xC
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1601 = 0
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\1601 = 0
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\1601 = 0
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1601 = 0
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\1601 = 0
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\5\1601 = 0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\GlobalUserOffline = 0
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowseNewProcess\BrowseNewProcess = "yes"


The Trojan collects passwords from the compromised system and intercepts data entered into forms through Internet Explorer. It may create the following files in the %System% folder for saving this password information, and any downloaded configuration data for the trojan:


dnkkq.dll
kkq32.vxd
kkq32.dll
Rtdx1<number>.dat


The stolen information is passed to the attacker by sending query strings; additionally, configuration data may also be uploaded through the web to a predetermined URL..

                    답변/관련 쓰기 폼메일 발송
NoI▒N▒D▒E▒XDate
221   Refest 트로이 경보 2004/07/02
220   Bugbear.K 웜 2004/06/29
219   트로이-하이재커 2004/06/27
218   Korgo.Q 변종 웜 2004/06/25
217   Korgo.O 변종 웜 2004/06/23
216   Anisc 바이러스 경보 2004/06/21
215   Korgo.L 변종 웜 2004/06/19
214   Paps.A 대량 메일링 웜 2004/06/17

 
처음 이전 다음       목록