[고마운정보] 오래된정보지만 해킹을 약간이라도 방지.

[[램므]제로니카]

피시방에서 검색해보면..

요게 뜨던데..

 

네이버 검색 이용해보니..

 

 

내용은 ↘[내이버 ->

cafe.naver.com/cisspready

출처

Trojan.PWS.Lineage 는 수많은 변종들이 존재하며 사용자의 키보드를 후킹하여 특정 게임 사이트 로그인시 로긴아이디와 패스워드를 외부로 유출하는 기능을 가진다.

이러한 Trojan.PWS.Lineage는 또다른 악성코드인 Exploit을 포함하는 스크립트등을 통하여 해킹된 웹서버로부터 사용자의 시스템에 다운로드되어 실행되어 질수 있다.
아래는 많은 종류의 Trojan.PWS.Lineage 들중 지난 2005년 7월 19일에 발견된 샘플에 대한 분석을 한 것이다.


<설치/특징>
ㅇ Trojan.PWS.Lineage 가 실행되면 감염된 시스템의 아래와 같은 폴더에 자신을 복제한다.
- C:Program Filesexplorer.exe

ㅇ 다음과 같은 파일을 생성하여 현재 실행중인 모든 프로세스에 인젝트시킨다.
- %system%hzdll.dll : Trojan.PWS.Lineage 로 진단

* 기본적인 윈도우 시스템 폴더(%system%)
- Windows 9X/ME: C:WindowsSYSTEM
- Windows NT/2000 : C:WinntSystem32
- Windows XP : C:WindowsSystem32


<패스워드 유출>
ㅇ 감염시스템의 인터넷 익스플로러의 주소창을 감시하여 다음과 같은 주소가 입력될 경우 동작을 시작한다.
- http://www.hangame.com
- http://www.hangame.com/
- http://netmarble.net/index.asp
- http://www.netmarble.net/index.asp
- http://service.1000y.com.cn/1000y/1000YService/PassSearch.asp

ㅇ 해당 사이트에서 사용자가 아이디와 비밀번호를 입력할 경우 다음과 같은 파일에 해당 사이트별로 아이디와 패스워드 값을 저장한다.
- %rootdrive%logo.dat

ㅇ logo.dat 파일이 작성된 후 다음과 같은 사이트로 해당 파일을 보낸다.
- 사이트 주소 : http://utol<생략>.com
- 아이피 : 61.152.<생략>.86

ㅇ 감염 pc에 Outlook등의 이메일 프로그램이 설치되어있다면 다음의 SMTP 서버를 통해 메일을 발송한다.
- http://www.110<생략>.com

ㅇ 메일을 받도록 설정되어있는 이메일 주소는 다음과 같다.
- wdo@16<생략>.com


<프로세스 종료>
ㅇ 감염 PC에서 다음과 같은 프로세스 및 해당 클래스명이 사용된 프로세스의 실행을 종료시킨다.
- TfLockDownMain
- ZoneAlarm
- ZAFrameWnd
- EGHOST.EXE
- MAILMON.EXE
- KAVPFW.EXE
- Ravmon.EXE
- Ravmond.EXE


<자동재시작>
ㅇ레지스트리에 자신의 정보를 삽입하여 윈도우즈 부팅시 자신을 자동으로 실행시킬 수 있도록 한다.
[HKLMSOFTWAREMicrosoftWindowsCurruntVersionRun]
"LTt1" = "C:Program Filesexplorer.exe"

글이 좀 복잡하네요 ..

요점은 요게 발견되면 자리뜨자...입니다

또 다른 게.

Backdoor들은 모두 윈도우 보안 취약점과 패스워드 취약점, 다른 웜과 백도어가 열어둔 백도어 포트를 통해서 확산됩니다.

보통 Backdoor바이러스 종류는 해킹툴입니다...

본래의 의미는 전문가들이 만약의 경우를 위해 (또는 손쉽게) 자기 컴퓨터에

원격으로 접속하려고 까는 것이지만...

요즘은 그런 뜻이 변질되어

다른사용자가 본 컴퓨터에 침입을 하기 위해 몰래까는 것으로

바뀌고 말았습니다..

해당  Backdoor가 재감염되는 것을 막기 위해서는 위 보안패치와 암호 변경을 꼭 해주시기 바랍니다.

추가적으로 내용을 덧붙이자면 예전에는 개인상의 정보를 빼내기 위해서

백도어를 통해 트로이 목마 같은 것을 설치하게 되어 있었는데 최근들어서는

개인정보 보다는 특정 게임의 CD-KEY를 유출하기 위하여 많이 사용한다고

하는군요.. 다들 아시겠지만.. administrator 계정을 사용하지 않는다고

패스워드를 걸어놓지 않으면.. 이렇게 백도어가 많이 들어오게 됩니다.

일단 백도어에 감염이 되면 치료를 한후 패스워드 변경은 필수 항목입니다.

그리고 사용하는 계정에 패스워드를 미리 설정하여.. 사전에 방지하는 것이 좋습니다.

특히 서버급 운영체제 사용하시는 분들은 더더욱 유의하셔야 합니다.

출처 : 네이버 지식인

피시방 갈때는 꼭 국민은행 접속을 해보시기 바랍니다a...

글은 좀 복잡해도 요점만 읽으시면 될꺼에요

이상 허접한 정보였습니다.

아 , 또한가지 피시방에서 접속을 했다면 되도록 집에 와선 바로바로 비번바꾸기를 권장

피시방에선 되도록 신상정보를 입력하지 말껏..

[[아노]미아냥냥]

감사합니다 ^^* 요점만 정리해 주시고 잘 읽고 대처 하겠습니다~

[[오를]sky레이]

저 트로이 걸렷다는.. 무지짜증남.. 백신깔려면 팅기고 ㅅㅂ 인터넷키면 오류뜨고 꺼지고 인터넷할라믄 내컴터에서 주소치는데다가 친다음해야지댐;; 인터넷창 2개이상못띄움

[[렘므]밤의아이들]

더 좋은 방법은 피시방에 안가면 됨

[[오를]럽샤이]

사장님 나이스샷 ㄱ-

[[산스]유전]

ㄷㄷㄷㄷ

[[램므]제로니카]

집도 안전하지 않은걸로... [ 프로그램 깔다보면 나도 모르게 침입이..]

[[트라]뇨당]

↑컴퓨터 하지말라는건가 `ㅡ`a zzzzzzzzzzzzzzz

[[산스]Heroine]

흐흐흐... 피시방에 안가는SENSE~ ㅋㅋㅋㅋ

[[아노]강냉이먹쟈]

ㄷㄷㄷㄷㄷㄷㄷㄷ ㄳ

[[아노]ㄴ▼ㄱ]

피시방은 재가알기론 부팅할때마다 그전정보는 다지워지는걸로아는데;; 그래서 더 안전하다고 들었음'ㅅ'

[[렘므]광마의육혈포]

피시방이나 학교컴은... 저장된 설정 그상태를 유지시키는 프로그램이 있어서 새로운 게임을 깐다던가 해도 재부팅하면 다시 지워져잇습니다. 저장한 시점 그대로 돌아가기때문에 쿠키지울필요 없지요. 하지만 관리 제대로 소홀한 피씨방은... 피씨방에 키로그 깔아두고 한달 정도 있다가 다시 찾아가면 많은 것들을 건질 수 있지요-_-

[[렘므]광마의육혈포]

키로그 등을 방지하기 위해서 번거롭더라도 비쥬얼 패스워드를 사용하는 것도 좋겠구요. 서비스팩2만 잘 작동해도 앵간히 방지될겁니다.

[[하칸]아루키미코]

피시방...;; 역시 후진데 가면 위험해. ㄷㄷ // 기본적으로 키보드 차단 프로그램을 몇 개 깔아두는 것도 괜찮을 듯.

[초코님♡]

다른곳에 옮겨두면 된답니다 ㄲㄲㄲㄲㄲ

[[아노]노랭이〃]

난 피시방에서 메플 듀프를 쓴다오 허허 ㄱ-; [어떤 형들이 듀프 뚫어 놧소이다 ㄱ-;]

[[두르]두손가락♡]

ㄷㄷㄷ;;

[[산스]카리나。]

쩝, 그냥 피씨방을 안 가야겠군요.. 원래 잘 출입은 안 하지만 후진 데는 안 가야겠네요..ㄷㄷ

[[렘므]˚Darkness。]

가장 좋은방법은 안하면 되는거센 /ㅅ/(응?)

[[두르]가쿠토카무이]

어려워 -_-킥킥..

[둥글게둥글게/골때]

스크랩할께요 좋은정보감사!