flash.exe

1 . flash.exe의 바이러스 토탈 검사 결과 및 파일 특성(추가 정보)

검사 파일: flash.exe 전송 시각: 2009.06.26 16:56:18 (UTC)
안티바이러스	엔진 버전	정의 날짜	검사 결과
a-squared	4.5.0.18	2009.06.26	Win32.SuspectCrc!IK
AhnLab-V3	5.0.0.2	2009.06.26	-
AntiVir	7.9.0.199	2009.06.26	TR/Agent.15360.108
Antiy-AVL	2.0.3.1	2009.06.26	Trojan/Win32.Small.gen
Authentium	5.1.2.4	2009.06.25	-
Avast	4.8.1335.0	2009.06.26	Win32:Trojan-gen {Other}
AVG	8.5.0.339	2009.06.26	Downloader.Generic8.AWPY
BitDefender	7.2	2009.06.26	Generic.Malware.FYddld.AA084B47
CAT-QuickHeal	10.00	2009.06.26	(Suspicious) - DNAScan
ClamAV	0.94.1	2009.06.26	-
Comodo	1438	2009.06.26	TrojWare.Win32.TrojanDownloader.Small.jxb
DrWeb	5.0.0.12182	2009.06.26	DDoS.Doit
eSafe	7.0.17.0	2009.06.25	Win32.HEURCrypted
eTrust-Vet	31.6.6582	2009.06.26	Win32/VMalum.FOTL
F-Prot	4.4.4.56	2009.06.25	-
F-Secure	8.0.14470.0	2009.06.26	Trojan:W32/Agent.KYH
Fortinet	3.117.0.0	2009.06.26	PossibleThreat
GData	19	2009.06.26	Generic.Malware.FYddld.AA084B47
Ikarus	T3.1.1.64.0	2009.06.26	Win32.SuspectCrc
Jiangmin	11.0.706	2009.06.26	-
K7AntiVirus	7.10.768	2009.06.19	-
Kaspersky	7.0.0.125	2009.06.26	Trojan-Downloader.Win32.Small.jxb
McAfee	5658	2009.06.26	Generic Downloader.z
McAfee+Artemis	5657	2009.06.25	Generic Downloader.z
McAfee-GW-Edition	6.7.6	2009.06.26	Trojan.Agent.15360.108
Microsoft	1.4803	2009.06.26	-
NOD32	4192	2009.06.26	Win32/TrojanDownloader.Small.JXB
Norman	6.01.09	2009.06.26	-
nProtect	2009.1.8.0	2009.06.26	Trojan-Downloader/W32.Small.15360.CT
Panda	10.0.0.16	2009.06.26	-
PCTools	4.4.2.0	2009.06.26	-
Prevx	3.0	2009.06.26	-
Rising	21.35.44.00	2009.06.26	-
Sophos	4.43.0	2009.06.26	Mal/Generic-A
Sunbelt	3.2.1858.2	2009.06.25	-
Symantec	1.4.4.12	2009.06.26	Downloader
TheHacker	6.3.4.3.354	2009.06.25	-
TrendMicro	8.950.0.1094	2009.06.26	-
VBA32	3.12.10.7	2009.06.26	-
ViRobot	2009.6.26.1806	2009.06.26	-
VirusBuster	4.6.5.0	2009.06.26	-
추가 정보
File size: 15360 bytes
MD5...: 350df064a4ecc7b50dfeaf4a988e5832

2 . flash.exe가 시스템에 준 변화

레지스트리 생성

[HKEY_CURRENT_USER\user\current\software\Microsoft\Windows\ShellNoRoam\MUICache] "C:\Documents and Settings\사용자 이름(계정)\Application Data\dcomcnfg.exe"="dcomcnfg" [HKEY_CURRENT_USER\user\current\software\Microsoft\Windows\CurrentVersion\Run] "WinProtect"="C:\\Documents and Settings\\사용자 이름(계정)\\Application Data\\dcomcnfg.exe srv" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters \FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Documents and Settings\사용자 이름(계정)\Application Data\dcomcnfg.exe"="C:\Documents and Settings\사용자 이름(계정)\Application Data\dcomcnfg.exe:*:Enabled:WinProtect"

파일 생성

C:\Documents and Settings\사용자 이름(계정)\Application Data\dcomcnfg.exe

3 . flash.exe가 시스템에 주는 변경에 대한 설명.

flash.exe는 사용자의 Application Data 폴더로 dcomcnfg.exe를 복사,
dcomcnfg.exe는 외부로 연결을 해서 다른 악성코드들의 다운로드를 시도한다.

윈도우 방화벽에 자신을 예외 프로그램으로 등록한다.

4 . 본 악성코드에 대한 대처 

6월 27일 현재 알약은 진단 치료 중.

 
주의할 점 - 본 악성코드는 이 포스트에서 진단된다고 보여진 파일보다는 다운로드되는 파일들에 더욱 문제가
                 있을 것으로 보이므로, 본 파일이 진단 사항으로 뜰 경우는 꼭 정상/안전모드 모두에서
                 전체 시스템 정밀 검사할 것.

5 . 추가 조치 사항 및 추가 정보 .

윈도우 방화벽을 사용하는 경우는
방화벽 예외 설정에
WinProtect 또는 dcomcnfg.exe 항목이 존재한다면 지워 줄 것.

생성되는 dcomcnfg.exe는 flash.exe와 같은 파일로 이름만 다르게 복사되어지는 것으로 보여짐.

dcomcnfg.exe의 파일 정보(진단 내역 및 파일 정보 flash.exe와 같음).

dcomcnfg.exe

File size: 15360 bytes MD5...: 350df064a4ecc7b50dfeaf4a988e5832

6 . 관련 글들 보기.

파일 특성(정보) 손쉽게 알아보기 -

2009/03/17 - [프로그램 리뷰] - HashMyFiles v1.43 - Calculate MD5/SHA1/CRC32

바이러스 토탈을 이용해 파일 검사하기 -

2009/02/05 - [유용한 팁들] - 바이러스 검사 - Virus Total / VirScan