인쇄 가능 페이지

발견됨: May 11, 2007
업데이트됨: May 14, 2007 5:33:51 PM
유형: Trojan
감염 부분 크기: 3,476,874바이트
영향을 받는 시스템: Windows

Trojan.Haradong.C는 로컬 파일을 이미지로 대체하는 트로이 목마입니다. 또한 감염된 시스템에 악성일 가능성이 있는 파일을 다운로드하여 실행합니다.

안티바이러스 보호 일자

  • Initial Rapid Release versionRapid Release 최초 버전 May 11, 2007
  • Rapid Release 최신 버전 May 11, 2007
  • Daily Certified 최초 버전 May 11, 2007
  • Daily Certified 최신 버전 May 11, 2007
  • Weekly Certified 최초 릴리스 날짜 May 16, 2007

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

작성자: Sean Kiernan

발견됨: May 11, 2007
업데이트됨: May 14, 2007 5:33:51 PM
유형: Trojan
감염 부분 크기: 3,476,874바이트
영향을 받는 시스템: Windows

이 트로이 목마가 실행되면 감염된 시스템에서 특정 파일을 삭제합니다. 그런 다음 같은 이름의 .bmp 파일로 파일을 대체합니다. 예를 들어 sample.txt는 다음 파일로 대체됩니다.
sample.txt .bmp

그리고 다음 웹 사이트에서 파일을 다운로드할 수 있습니다.

위 파일은 Trojan.Pirlames의 복제본이며 다음 위치에 저장됩니다.

  • %SystemDrive%\KAGAMI\taskmgr.exe
  • %SystemDrive%\KAGAMI\explorer.exe
  • %SystemDrive%\KAGAMI\JPG.exe

권장 사항

Symantec Security Response encourages all users and administrators to adhere to the following basic security "best practices":

  • Use a firewall to block all incoming connections from the Internet to services that should not be publicly available. By default, you should deny all incoming connections and only allow services you explicitly want to offer to the outside world.
  • Enforce a password policy. Complex passwords make it difficult to crack password files on compromised computers. This helps to prevent or limit damage when a computer is compromised.
  • Ensure that programs and users of the computer use the lowest level of privileges necessary to complete a task. When prompted for a root or UAC password, ensure that the program asking for administration-level access is a legitimate application.
  • Disable AutoPlay to prevent the automatic launching of executable files on network and removable drives, and disconnect the drives when not required. If write access is not required, enable read-only mode if the option is available.
  • Turn off file sharing if not needed. If file sharing is required, use ACLs and password protection to limit access. Disable anonymous access to shared folders. Grant access only to user accounts with strong passwords to folders that must be shared.
  • Turn off and remove unnecessary services. By default, many operating systems install auxiliary services that are not critical. These services are avenues of attack. If they are removed, threats have less avenues of attack.
  • If a threat exploits one or more network services, disable, or block access to, those services until a patch is applied.
  • Always keep your patch levels up-to-date, especially on computers that host public services and are accessible through the firewall, such as HTTP, FTP, mail, and DNS services.
  • Configure your email server to block or remove email that contains file attachments that are commonly used to spread threats, such as .vbs, .bat, .exe, .pif and .scr files.
  • Isolate compromised computers quickly to prevent threats from spreading further. Perform a forensic analysis and restore the computers using trusted media.
  • Train employees not to open attachments unless they are expecting them. Also, do not execute software that is downloaded from the Internet unless it has been scanned for viruses. Simply visiting a compromised Web site can cause infection if certain browser vulnerabilities are not patched.
  • If Bluetooth is not required for mobile devices, it should be turned off. If you require its use, ensure that the device's visibility is set to "Hidden" so that it cannot be scanned by other Bluetooth devices. If device pairing must be used, ensure that all devices are set to "Unauthorized", requiring authorization for each connection request. Do not accept applications that are unsigned or sent from unknown sources.
  • For further information on the terms used in this document, please refer to the Security Response glossary.

작성자: Sean Kiernan

발견됨: May 11, 2007
업데이트됨: May 14, 2007 5:33:51 PM
유형: Trojan
감염 부분 크기: 3,476,874바이트
영향을 받는 시스템: Windows

이 지침은 Symantec AntiVirus 및 Norton AntiVirus 제품군을 포함한 모든 시만텍 안티바이러스 제품에 적용됩니다.

  1. Windows Me/XP 시스템 복원을 실행 중지하십시오.
  2. 바이러스 정의를 업데이트하십시오.
  3. 전체 시스템 검사를 실행하십시오.

각 단계의 자세한 사항은 아래와 같습니다.

1. Windows Me/XP 시스템 복원 실행 중지
Windows Me 또는 Windows XP를 실행 중이면 시스템 복원 기능을 일시 중지하는 것이 좋습니다. 이 기능은 Windows Me/XP에서 실행되도록 기본 설정되어 있으며 파일이 손상되면 손상된 파일의 복원을 수행합니다. 시스템이 바이러스, 웜 또는 트로이 목마에 감염되었을 때 시스템 복원을 통해 이러한 바이러스, 웜 또는 트로이 목마도 복원될 수 있습니다.

Windows는 안티바이러스 프로그램을 비롯한 외부 프로그램이 시스템 복원을 변경하는 것을 차단합니다. 따라서 안티바이러스 프로그램이나 도구가 시스템 복원 폴더에 있는 위협 요소를 삭제할 수 없습니다. 이로 인해, 사용자가 다른 위치에 있는 감염 파일을 모두 치료하더라도 시스템 복원에서 이러한 파일을 다시 복원할 가능성이 있습니다.

또한, 위협 요소를 제거한 이후에도 바이러스 검사를 수행하면 시스템 복원 폴더에서 위협 요소가 탐지될 수도 있습니다.

시스템 복원을 실행 중지하는 방법에 관한 설명은 Windows 문서 또는 다음 문서를 참조하십시오.

참고: 제거 절차를 완료하였고 위협 요소가 제거되었다고 판단되면 위 문서의 지침을 수행하여 시스템 복원을 재실행하십시오.

자세한 내용 및 Windows Me 시스템 복원 실행 중지 방법은 Microsoft 기술 자료 바이러스 백신 도구가 _Restore 폴더에서 감염된 파일을 복구하지 못한다 (기술 자료 ID: 263455)를 참조하십시오.

2. 바이러스 정의 업데이트
모든 바이러스 정의는 시만텍 보안 연구소의 철저한 테스트를 거친 후 서버를 통해 제공됩니다. 최신 바이러스 정의를 얻을 수 있는 방법은 두 가지입니다.
  • LiveUpdate 실행: 바이러스 정의를 업데이트하는 가장 쉬운 방법입니다.
    Norton AntiVirus 2006, Symantec AntiVirus Corporate Edition 10.0 또는 더 최신의 제품을 사용하는 경우, LiveUpdate 정의가 매일 업데이트됩니다. 이러한 제품에는 최신 기술이 구현되어 있습니다.

    Norton AntiVirus 2005, Symantec AntiVirus Corporate Edition 9.0 또는 더 이전의 제품을 사용하는 경우, LiveUpdate 정의가 매주 업데이트됩니다. 예외적으로 중대한 바이러스가 발생하면 정의가 더 자주 업데이트됩니다.
  • Intelligent Updater를 사용한 정의 다운로드: Intelligent Updater 바이러스 정의는 매일 게시됩니다. 정의는 시만텍 보안 연구소 웹 사이트를 통해 다운로드하며 사용자가 직접 설치해야 합니다.

최신 Intelligent Updater 바이러스 정의는 Intelligent Updater 바이러스 정의 에서 받을 수 있습니다. 자세한 방법은 시만텍 기술 자료 Intelligent Updater를 사용하여 바이러스 정의 파일을 업데이트하는 방법 을 참조하십시오.

3. 전체 시스템 검사 실행
  1. 시만텍 안티바이러스 프로그램을 시작하고 프로그램이 모든 파일을 검사하도록 설정되어 있는지 확인하십시오.
    Norton AntiVirus 개인 사용자 제품을 위한 기술 자료: Norton AntiVirus에서 모든 파일 검사하는 방법

    Symantec AntiVirus 엔터프라이즈 제품을 위한 기술 자료: 시만텍 기업용 안티바이러스 제품에서 모든 파일 검사 방법
  2. 전체 시스템 검사를 실행하십시오.
  3. 파일이 탐지되면 안티바이러스 프로그램의 지침을 수행하십시오.
중요: 시만텍 안티바이러스 제품을 시작할 수 없거나 탐지된 파일을 삭제할 수 없는 경우, 현재 진행 중인 작업을 중지해야 할 수도 있습니다. 문제를 해결하려면 안전 모드에서 검사를 실행하십시오. 자세한 방법은 시만텍 기술 자료 시스템을 안전 모드로 시작하는 방법 을 참조하십시오. 시스템을 안전 모드로 시작한 다음 시스템 전체 검사를 다시 실행하십시오.
파일이 삭제된 후 시스템을 정상 모드로 재시작하십시오.

작성자: Sean Kiernan