안철수연구소에 있는글입니다 한번 읽어보세요

- 요약

Win-Trojan/Hotra.49152와 그 변형은 애드웨어로 사용자에게 광고를 보여주는 프로그램인데 광고를 받아오는 서버가 다운되어 서버에 접속하지 못해 프로그램이 오동작을 일으켜 시스템에 영향을 미치는 것으로 추정된다.

- 애드웨어(Adware)

애드웨어는 제한 없이 무료로 사용되는 프리웨어(freeware), 일정한 금액으로 제품을 사야 하는 셰어웨어(shareware) 같이 광고를 보면 사용할 수 있는 프로그램을 뜻하지만 광고를 보여주는 프로그램도 해당된다. 애드웨어는 흔히 사용자 정보를 빼가는 스파이웨어(Spyware)와 혼돈되어 사용되지만 애드웨어는 보통 사용자 동의하에 설치되며 사용자 정보를 빼가는 행동은 하지 않아 대부분의 백신에서 악성 코드로 분류하지 않아 진단하지 않는다. 이 프로그램은 오동작으로 인해 고객들 피해가 많고 진단 요청이 많아 추가하게 되었다.

단, 애드웨어도 다음 내용이 확인되면 트로이목마로 분류되어 V3 제품군에서 진단/치료(삭제)한다.

- 사용자 정보 유출
- 사용자 동의 없이 설치
- 사용자 동의 없이 프로그램 업데이트 등의 위험 행동

애드웨어의 설치 경로는 보통 웹 서핑, 스팸 메일 등을 통해 발생하며 사용자들이 정확한 설치 경로를 기억하지 못해 설치 경로 확인에 어려움이 있다.

- 전파방법

현재 Win-Trojan/Hotra.49152의 전파 경로는 정확히 파악되지 않았고 현재 파악 중이다.

- 실행후 증상

파일이 실행되면 실행된 폴더의 파일을 다음 레지스트리에 추가해 윈도우 시작시 자동실행되게 한다.
보통 윈도우 시스템 폴더(일반적으로 C:WindowsSystem, C:WindowsSystem32, C:WinNTSystem32)에 설치된다.

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run
에 hotdog.exe 등록

다음 파일도 존재할 수 있으며 이들 파일은 데이터 파일이므로 V3 제품군에서 진단/치료(삭제)않는다.
삭제를 원하면 사용자가 직접 파일을 찾아 삭제해줘야한다.

- hotdogid.ini
- config_url.txt
- notify_url.txt
- result.txt

* 이 정보는 2003년 11월 10일 13시 47분 25초에 최초 작성되었으며 2003년 11월 11일 17시 40분에 최종 수정 되었다.


치료방법 # 2003년 11월 10일자 엔진 이후의 V3 제품군으로 진단/치료(삭제) 가능하며 수동 치료 방법은 다음과 같다.

1. hotdog.exe 프로세서를 중지한다.
(Ctrl+Alt+Del로 Windows 작업 관리자 실행 후 hotdog.exe 종료)

2. 해당 파일을 삭제한다.
윈도우 시스템 폴더에서 hotdog.exe나 extra.exe 종료
예 : C:WindowsSYSTEMHOTDOG.EXE

3. 레지스트리 편집기 실행 후(regedit.exe) 해당 레지스트리 값을 삭제한다.
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run의 hotdog.exe

4. 아래의 파일을 찾아서 삭제 한다.
- hotdogid.ini
- config_url.txt
- notify_url.txt
- result.txt

* 현재 컴퓨터 속도 저하 (응용 프로그램 실행시 지연후 실행등)등의 문제가 보고되고 있으며 이는 이 파일과 연동되는 sav12.dll 파일로 인한 것으로 보여진다. 따라서 이 파일을 제거하면 느려지는 현상은 해결된다. 2003년 11월 12일자 정기엔진에 해당 파일인 sav12.dll (57,344 바이트)을 Win-Trojan/Sins.57344 로 추가하였다. 따라서 V3 제품군 사용자는 최신엔진으로 업데이트후 검사하여 진단된 파일을 삭제하면 된다. 치료(삭제)후 여전히 응용 프로그램의 실행이 느리다면, 시스템을 재부팅 해보거나 iexplore.exe 또는 Explorer.exe 를 종료후 실행해보도록 한다.

수동제거 방법은 다음과 같다.

1. 명령 프롬프트 창으로 나온다. (일반적으로 시작 -> 실행 -> cmd, 또는 command 입력한다.)

2. 윈도우 시스템 폴더로 이동한다. (예를 들어 cd winntsystem32 또는 cd windowssystem32, cd windowssystem 등으로 입력한다.)

3. regsvr32 c:윈도우 시스템 폴더명sav12.dll 입력후 엔터

-> 예) regsvr32 /u c:winntsystem32sav12.dll

4. 윈도우로 돌아와서 sav12.dll 파일을 찾아 지운다. 파일이 삭제되지 않는다면 재부팅후 해당 파일을 삭제하도록 한다.
참고사항 * MD5 값

현재까지 발견된 변형의 길이는 49,152 바이트 혹은 57,344 바이트이며 파일이름은 extra.exe, hotdog.exe 이다. 이들의 MD5 값은 다음과 같다.

- 73a303150c82913c63bdd0a1c4ce0e9a
- b2cfad8931363add13a79e0f54815f8f
- c2d7dc91d9044213ee7e04c80ff00398