갑자기 새창 뜨는 시간이 오래 걸린다면 hotdog 바이러스가 의심됨.
컴퓨터와 친해지기. 2004. 5. 16. 13:09
hotdog 바이러스에 감염
윈도우 프로그램 속도저하 인터넷 속도저하 등등...
시작->실행->regedit
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionexplorer에서
Browser Helper Objects 다음 키안에 있는 모든 폴더를 모두 삭제 하시고요
Win-Trojan/Hotra.49152는 2003년 11월 8일 처음 발견되었으며 정보를 작성하는 2003년 11월 10일 현재 원형을 포함해 3가지 변형이 발견되었다. 발견 이전에 이미 많은 시스템에 설치된 것으로 보이며 이 프로그램의 문제로 다른 프로그램이 제대로 실행되지 않아 발견되었다. 현재 안철수연구소는 다수의 감염 보고를 받았다.
- 요약
Win-Trojan/Hotra.49152와 그 변형은 애드웨어로 사용자에게 광고를 보여주는 프로그램인데 광고를 받아오는 서버가 다운되어 서버에 접속하지 못해 프로그램이 오동작을 일으켜 시스템에 영향을 미치는 것으로 추정된다.
- 애드웨어(Adware)
애드웨어는 제한 없이 무료로 사용되는 프리웨어(freeware), 일정한 금액으로 제품을 사야 하는 셰어웨어(shareware) 같이 광고를 보면 사용할 수 있는 프로그램을 뜻하지만 광고를 보여주는 프로그램도 해당된다. 애드웨어는 흔히 사용자 정보를 빼가는 스파이웨어(Spyware)와 혼돈되어 사용되지만 애드웨어는 보통 사용자 동의하에 설치되며 사용자 정보를 빼가는 행동은 하지 않아 대부분의 백신에서 악성 코드로 분류하지 않아 진단하지 않는다. 이 프로그램은 오동작으로 인해 고객들 피해가 많고 진단 요청이 많아 추가하게 되었다.
단, 애드웨어도 다음 내용이 확인되면 트로이목마로 분류되어 V3 제품군에서 진단/치료(삭제)한다.
- 사용자 정보 유출
- 사용자 동의 없이 설치
- 사용자 동의 없이 프로그램 업데이트 등의 위험 행동
애드웨어의 설치 경로는 보통 웹 서핑, 스팸 메일 등을 통해 발생하며 사용자들이 정확한 설치 경로를 기억하지 못해 설치 경로 확인에 어려움이 있다.
- 전파방법
현재 Win-Trojan/Hotra.49152의 전파 경로는 정확히 파악되지 않았고 현재 파악 중이다.
- 실행후 증상
파일이 실행되면 실행된 폴더의 파일을 다음 레지스트리에 추가해 윈도우 시작시 자동실행되게 한다.
보통 윈도우 시스템 폴더(일반적으로 C:WindowsSystem, C:WindowsSystem32, C:WinNTSystem32)에 설치된다.
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run
에 hotdog.exe 등록
다음 파일도 존재할 수 있으며 이들 파일은 데이터 파일이므로 V3 제품군에서 진단/치료(삭제)않는다.
삭제를 원하면 사용자가 직접 파일을 찾아 삭제해줘야한다.
- hotdogid.ini
- config_url.txt
- notify_url.txt
- result.txt
* 이 정보는 2003년 11월 10일 13시 47분 25초에 최초 작성되었으며 추가 정보 발생시 갱신될 수 있다.
치료방법 # 2003년 11월 10일자 엔진 이후의 V3 제품군으로 진단/치료(삭제) 가능하며 수동 치료 방법은 다음과 같다.
1. hotdog.exe 프로세서를 중지한다.
(Ctrl+Alt+Del로 Windows 작업 관리자 실행 후 hotdog.exe 종료)
2. 해당 파일을 삭제한다.
윈도우 시스템 폴더에서 hotdog.exe나 extra.exe 종료
예 : C:WindowsSYSTEMHOTDOG.EXE
3. 레지스트리 편집기 실행 후(regedit.exe) 해당 레지스트리 값을 삭제한다.
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
윈도우 프로그램 속도저하 인터넷 속도저하 등등...
시작->실행->regedit
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionexplorer에서
Browser Helper Objects 다음 키안에 있는 모든 폴더를 모두 삭제 하시고요
Win-Trojan/Hotra.49152는 2003년 11월 8일 처음 발견되었으며 정보를 작성하는 2003년 11월 10일 현재 원형을 포함해 3가지 변형이 발견되었다. 발견 이전에 이미 많은 시스템에 설치된 것으로 보이며 이 프로그램의 문제로 다른 프로그램이 제대로 실행되지 않아 발견되었다. 현재 안철수연구소는 다수의 감염 보고를 받았다.
- 요약
Win-Trojan/Hotra.49152와 그 변형은 애드웨어로 사용자에게 광고를 보여주는 프로그램인데 광고를 받아오는 서버가 다운되어 서버에 접속하지 못해 프로그램이 오동작을 일으켜 시스템에 영향을 미치는 것으로 추정된다.
- 애드웨어(Adware)
애드웨어는 제한 없이 무료로 사용되는 프리웨어(freeware), 일정한 금액으로 제품을 사야 하는 셰어웨어(shareware) 같이 광고를 보면 사용할 수 있는 프로그램을 뜻하지만 광고를 보여주는 프로그램도 해당된다. 애드웨어는 흔히 사용자 정보를 빼가는 스파이웨어(Spyware)와 혼돈되어 사용되지만 애드웨어는 보통 사용자 동의하에 설치되며 사용자 정보를 빼가는 행동은 하지 않아 대부분의 백신에서 악성 코드로 분류하지 않아 진단하지 않는다. 이 프로그램은 오동작으로 인해 고객들 피해가 많고 진단 요청이 많아 추가하게 되었다.
단, 애드웨어도 다음 내용이 확인되면 트로이목마로 분류되어 V3 제품군에서 진단/치료(삭제)한다.
- 사용자 정보 유출
- 사용자 동의 없이 설치
- 사용자 동의 없이 프로그램 업데이트 등의 위험 행동
애드웨어의 설치 경로는 보통 웹 서핑, 스팸 메일 등을 통해 발생하며 사용자들이 정확한 설치 경로를 기억하지 못해 설치 경로 확인에 어려움이 있다.
- 전파방법
현재 Win-Trojan/Hotra.49152의 전파 경로는 정확히 파악되지 않았고 현재 파악 중이다.
- 실행후 증상
파일이 실행되면 실행된 폴더의 파일을 다음 레지스트리에 추가해 윈도우 시작시 자동실행되게 한다.
보통 윈도우 시스템 폴더(일반적으로 C:WindowsSystem, C:WindowsSystem32, C:WinNTSystem32)에 설치된다.
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run
에 hotdog.exe 등록
다음 파일도 존재할 수 있으며 이들 파일은 데이터 파일이므로 V3 제품군에서 진단/치료(삭제)않는다.
삭제를 원하면 사용자가 직접 파일을 찾아 삭제해줘야한다.
- hotdogid.ini
- config_url.txt
- notify_url.txt
- result.txt
* 이 정보는 2003년 11월 10일 13시 47분 25초에 최초 작성되었으며 추가 정보 발생시 갱신될 수 있다.
치료방법 # 2003년 11월 10일자 엔진 이후의 V3 제품군으로 진단/치료(삭제) 가능하며 수동 치료 방법은 다음과 같다.
1. hotdog.exe 프로세서를 중지한다.
(Ctrl+Alt+Del로 Windows 작업 관리자 실행 후 hotdog.exe 종료)
2. 해당 파일을 삭제한다.
윈도우 시스템 폴더에서 hotdog.exe나 extra.exe 종료
예 : C:WindowsSYSTEMHOTDOG.EXE
3. 레지스트리 편집기 실행 후(regedit.exe) 해당 레지스트리 값을 삭제한다.
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
