Download.Ject 페이로드 검색 및 제거 도구

이 도구는 더 이상 사용할 수 없습니다. Microsoft Windows 악성 소프트웨어 제거 도구로 대체되었습니다.
악성 소프트웨어 제거 도구에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.

890830 Microsoft Windows 악성 소프트웨어 제거 도구가 Windows Server 2003, Windows XP 또는 Windows 2000 컴퓨터에서 자주 발생하는 특정 악성 소프트웨어를 제거한다

요약

Microsoft는 Microsoft Windows 기반 클라이언트 컴퓨터가 Download.Ject 악성 프로그램에 감염된 후 다운로드되는 W32/Berbew(변종 A-H)라는 트로이 목마 프로그램을 발견했습니다. 사용자가 Microsoft Internet Information Services(IIS)를 실행하고 JS.Scob에 감염된 서버에서 호스팅되는 웹 사이트를 방문할 때 이 문제가 발생합니다. 사용자 컴퓨터에 다운로드된 웹 페이지에는 Backdoor:W32/Berbew 트로이 목마 바이러스를 다운로드하는 추가 JavaScript 프로그램이 포함되어 있습니다. Backdoor:W32/Berbew는 Backdoor-AXJ, Webber 또는 Padodor라고도 합니다. 이 트로이 목마 바이러스가 사용자 컴퓨터에서 실행되면 다음을 포함한 여러 가지 작업을 수행합니다.

  • 인터넷 액세스를 모니터링합니다. 사용자가 여러 금융 관련 웹 사이트나 ISP 웹 사이트 중 하나를 방문하면 트로이 목마 바이러스가 로그인 이름 및 암호와 같은 중요 정보와 그 밖의 다른 중요 정보를 캡처합니다. 그런 다음 트로이 목마 바이러스의 작성자가 검색할 수 있도록 웹 서버로 이 정보를 보냅니다. 또한 스팸 메일 보내기와 같은 작업을 위한 릴레이로 사용되도록 사용자 컴퓨터를 구성하는 프록시 서버를 설치합니다.

  • 사용자에게 ATM 카드 코드, 신용 카드 번호 등의 기밀 정보를 입력하도록 유인하는 위조된 대화 상자를 엽니다. 이 정보는 트로이 목마 바이러스의 작성자가 검색할 수 있도록 웹 서버로 전송됩니다.

Microsoft는 컴퓨터에서 Backdoor:W32/Berbew 트로이 목마 변종을 제거하는 도구를 릴리스했습니다. 이 도구를 Microsoft 다운로드 센터에서 다운로드하여 컴퓨터에서 실행하면 Backdoor:W32/Berbew.A, Backdoor:W32/Berbew.B, Backdoor:W32/Berbew.C, Backdoor:W32/Berbew.D, Backdoor:W32/Berbew.E, Backdoor:W32/Berbew.F, Backdoor:W32/Berbew.G 및 Backdoor:W32/Berbew.H 감염을 제거할 수 있습니다.기술 업데이트

  • 2005년 2월 8일: Microsoft는 이 도구를 Microsoft Windows 악성 소프트웨어 제거 도구로 대체했습니다.
    악성 소프트웨어 제거 도구에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.

    890830 Microsoft Windows 악성 소프트웨어 제거 도구가 Windows Server 2003, Windows XP 또는 Windows 2000 컴퓨터에서 자주 발생하는 특정 악성 소프트웨어를 제거한다

  • 2004년 7월 14일: "요약", "해결 방법" 및 "사용 정보" 절이 업데이트되었습니다.

  • 2004년 7월 13일: Microsoft는 Microsoft 다운로드 센터에 Download.Ject 페이로드 검색 및 제거 도구 버전 1.0을 릴리스했습니다. 버전 1.0은 Backdoor:W32/Berbew 트로이 목마 바이러스의 알려진 모든 변종(A - H)을 검색하여 제거합니다.

현상

다음 현상 중 하나 이상이 나타날 수 있습니다.

  • 컴퓨터 성능이 떨어지거나 네트워크 연결이 느려집니다.

  • 특정 온라인 금융 관련 웹 사이트와 ISP 웹 사이트를 방문하면 ATM 보안 번호와 신용 카드 정보를 요청하는 메시지나 대화 상자가 나타납니다.

원인

이 문제는 컴퓨터가 Backdoor:W32/Berbew 트로이 목마 바이러스에 감염되었기 때문에 발생합니다. Backdoor:W32/Berbew는 Download.Ject 트로이 목마 바이러스에 의해 전달됩니다. 컴퓨터가 Backdoor:W32/Berbew의 변종에 감염되었는지 확인하는 방법에 대한 자세한 내용은 다음 Microsoft 웹 사이트를 방문하십시오.

http://www.microsoft.com/korea/security/incident/Download_Ject.asp

해결 방법

최신 서명이 적용된 바이러스 백신 소프트웨어는 Backdoor:W32/Berbew 트로이 목마 바이러스가 사용자 컴퓨터를 감염시키는 것을 방지합니다.

중요 인터넷 방화벽과 최신 서명이 적용된 바이러스 백신 프로그램을 사용하고 Windows 및 프로그램을 최신 상태로 유지하는 것이 좋습니다.

바이러스를 예방하고 바이러스 감염으로부터 복구하는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.

129972 컴퓨터 바이러스: 설명, 예방 및 복구

다운로드 및 설치 정보

전제 조건

Download.Ject 페이로드 검색 및 제거 도구에는 다음과 같은 전제 조건이 있습니다.

  • 컴퓨터에서 Microsoft Windows 2000 SP2 이상 또는 32비트 버전의 Microsoft Windows XP를 실행해야 합니다.

  • 컴퓨터 관리자 또는 Administrators 그룹의 구성원으로 로그온해야 합니다.

컴퓨터에서 Windows XP의 32비트 버전을 실행 중인지 아니면 64비트 버전을 실행 중인지 확인하는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.

827218 HOWTO: 사용 중인 컴퓨터가 Windows XP의 32비트 버전을 실행하는지 아니면 64비트 버전을 실행하는지 확인

이러한 전제 조건을 충족하지 않으면 설치가 작동하지 않고 오류 메시지가 나타납니다. 오류 메시지에 대한 자세한 내용은 다음 로그 파일을 참조하십시오.

%Windir%\Debug\Berbcln.log또한 제거 도구를 실행하기 전에 Internet Explorer에서 ADODB.stream 개체를 해제하는 Windows 업데이트도 설치하는 것이 좋습니다. 제거 도구가 감염된 컴퓨터에서 트로이 목마 바이러스를 제거하더라도 컴퓨터가 여전히 취약할 경우 다시 감염되는 것을 막지는 못합니다. 중요 업데이트를 설치하면 Download.Ject에 감염된 서버에서 악성 프로그램이 다시 다운로드되는 것을 막을 수 있습니다.

ADODB.stream 개체를 해제하는 Windows 업데이트에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.

870669 Internet Explorer에서 ADODB.Stream 개체를 해제하는 방법

다시 시작 요구 사항

이 도구를 설치한 후에는 컴퓨터를 다시 시작할 필요가 없습니다.

사용 정보

중요 이러한 단계를 수행하기 전에 모든 중요 데이터를 백업하십시오.

Download.Ject 페이로드 검색 및 제거 도구를 설치하고 EULA(최종 사용자 사용권 계약)에 동의할 경우 설치 패키지가 임시 폴더에 Berbcln.exe 파일의 압축을 푼 다음 제거 도구를 실행합니다. 제거 도구는 사용자 컴퓨터가 "전제 조건" 절에 나와 있는 전제 조건을 충족시키는지 확인합니다. 전제 조건이 충족되면 제거 도구는 다음 작업을 수행합니다.

  1. 다음 레지스트리 하위 키를 검사하여 트로이 목마 바이러스가 추가한 항목이 있는지 확인합니다.

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

    • HKEY_CLASSES_ROOT\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32

  2. Backdoor:Win32/Berbew 트로이 목마 바이러스의 주요 구성 요소에 대한 흔적을 메모리에서 찾습니다. 제거 도구가 이러한 흔적을 발견하면 프로세스가 종료됩니다.

  3. 트로이 목마 바이러스가 만든 다음과 같은 데이터 파일을 검색합니다. 이러한 파일에는 중요한 개인 데이터가 포함될 수 있습니다. 도구는 이러한 파일을 삭제합니다.

    Neh2x32.vxd
    Neh2x32.dat
    Glumx32.vxd
    Glumx32.dat
    Tt32.vxd
    Tt32.dat
    Gart32.vxd
    Gart32.dat
    Jcole32.vxd
    Jcole32.dat
    Kk32.dll
    Kk32.dll
    Dnkk.dll
    Surf.dat
    Kkq32.dll
    Kkq32.vxd
    Dnkkq.dll
    Kar32.dll
    Kar32.vxd
    Dkk32.dll
    Zurfs.dat

  4. Backdoor:W32/Berbew 트로이 목마 바이러스와 관련된 모든 파일을 삭제합니다. 이러한 파일은 1단계와 2단계에서 식별되었습니다.

  5. 도구가 1단계에서 식별한 레지스트리 항목을 제거합니다. 연관된 파일이 하드 디스크에 없을 경우 레지스트리 값이 손상을 일으키지 않으므로 Berbew 레지스트리 값이 더 이상 하드 디스크에 있는 파일을 가리키지 않으면 제거 도구는 고아 레지스트리 값을 제거하지 않습니다.

  6. 작동 방식으로 인해 트로이 목마 바이러스는 숨겨진 창에서 두 개의 Microsoft Internet Explorer 인스턴스를 실행합니다. 이들 창은 악의적인 웹 사이트에 연결하려고 합니다. 한 인스턴스는 몰래 가져온 개인 데이터를 업로드하려 하고, 다른 인스턴스는 트로이 목마 바이러스에 대한 소프트웨어 업데이트를 찾습니다. 도구가 컴퓨터에서 Backdoor:W32/ Berbew 트로이 목마 바이러스를 찾으면 현재 실행 중인 모든 Internet Explorer 인스턴스를 종료합니다.

  7. 도구는 검색과 제거 프로세스의 결과를 설명하는 메시지를 표시합니다. 다음 목록에는 나타날 수 있는 메시지와 해당 메시지에 대한 설명이 나와 있습니다.

    메시지

    의미

    No infection detected

    이 컴퓨터에서 Backdoor:Win32/Berbew 트로이 목마 바이러스가 검색되지 않았습니다.

    Successfully removed Backdoor:Win32/Berbew.gen Trojan. To prevent malicious communication, all instances of Internet Explorer were terminated.

    Backdoor:Win32/Berbew 트로이 목마 바이러스가 제거되었습니다. 추가 작업이 필요하지 않습니다.

    This tool must be run by an administrator.

    로그아웃한 다음 관리자로 다시 로그온해야 합니다.

    Fatal error, please review log file.

    자세한 내용은 %Windir%\Debug\Berbcln.log 디렉터리를 참조합니다.

    Backdoor:/W32/Berbew.gen Trojan was detected, but could not be removed.

    도구를 다시 실행해 보고 로그 파일에서 오류를 확인합니다.

    This tool requires Windows 2000 or Windows XP.

    Windows 2000과 Windows XP 이외의 다른 Windows 버전에서는 이 도구가 지원되지 않습니다.

    Incorrect Windows version (Win32s)

    Win32를 사용하는 Windows 3.1에서는 이 도구가 지원되지 않습니다.

    메시지 상자를 닫으면 제거 도구가 종료되고 Berbcln.exe 파일이 임시 폴더에서 삭제됩니다. 이제 Windows-KB873018-ENU-V1.exe 파일을 수동으로 삭제할 수 있습니다.

  8. 제거 도구는 %Windir%\Debug 폴더에 Berbcln.log라는 로그 파일을 만듭니다. 이 로그 파일을 보면 Backdoor:W32/Berbew.gen 감염이 발견되고 제거되었는지 확인할 수 있습니다.

명령줄 스위치

제거 도구 설치 관리자는 다음 명령줄 스위치를 지원합니다.

  • /Q - 자동 모드를 사용하거나 파일 압축을 풀 때 메시지를 표시하지 않습니다.

  • /Q:U - 사용자 개입 자동 모드를 사용합니다. 사용자 개입 자동 모드는 사용자에게 일부 대화 상자를 표시합니다.

  • /Q:A – 관리자 개입 자동 모드를 사용합니다. 관리자 개입 자동 모드는 사용자에게 대화 상자를 표시하지 않습니다.

  • /T:
    path - Download.Ject 페이로드 검색 및 제거 도구 설치 프로그램에서 사용하는 임시 폴더 위치를 지정하거나 파일을 추출하기 위한 대상 폴더를 지정합니다(/C 스위치와 함께 사용할 경우).

  • /C - 설치하지 않고 파일 압축을 풉니다. /T:
    path를 지정하지 않은 경우 대상 폴더를 지정할 것인지 묻습니다.

  • /C:
    cmd - 이 도구를 설치하는 데 사용할 다른 Setup.inf 파일이나 .exe 파일의 경로와 이름을 지정합니다.

  • /R:N – 설치 후 컴퓨터를 다시 시작하지 않습니다.

  • /R:I – 이 스위치를 /Q:A 스위치와 함께 사용할 때를 제외하고 컴퓨터를 다시 시작해야 하는 경우 사용자에게 다시 시작할 것인지 묻습니다.

  • /R:A – 설치 후 항상 컴퓨터를 다시 시작합니다.

  • /R:S – 설치 후 사용자에게 메시지를 표시하지 않고 컴퓨터를 다시 시작합니다.

지원되는 설치 스위치에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.

197147 IExpress 소프트웨어 업데이트 패키지의 명령줄 스위치

제거 도구는 다음과 같은 명령줄 스위치를 지원합니다.

  • /S - 도구에 자동 모드를 사용합니다. 이 스위치를 사용하면 도구를 실행한 후에 나타나는 감염 상태 대화 상자가 표시되지 않습니다.

제거 정보

Berbcln.exe 파일은 제거 도구를 실행한 후에 임시 위치에서 자동으로 삭제됩니다. 제거 도구를 설치한 후에 도구의 설치 관리자 패키지를 삭제할 수 있습니다.

참고 Download.Ject 페이로드 검색 및 제거 도구를 설치해도 제어판에 있는 프로그램 추가/제거 도구의
현재 설치된 프로그램 목록에는 나타나지 않습니다.



Microsoft 제품 관련 기술 전문가들과 온라인으로 정보를 교환하시려면 Microsoft 뉴스 그룹에 참여하시기 바랍니다.

추가 도움이 필요하신가요?

기술 향상
교육 살펴보기
새로운 기능 우선 가져오기
Microsoft Insider 참가

이 정보가 유용한가요?

소중한 의견에 감사드립니다.

피드백을 주셔서 감사합니다. Office 지원 에이전트와 연락하는 것이 도움이 될 것 같습니다.

×