게시판 뷰
게시판 뷰페이지
Trojan.Win32.Hotra.49152 바이러스 예보
작성자 박종욱
날짜 2003.11.11
조회수 4,733
◈ 개요 
2003년 11월 8일 처음 발견되었으며, 11월 10일 현재 3종의 변형이 발견되었다. 설치된 사용자에게 광고를 띄워주는 애드웨어이며, 특정 사이트에서 몇가지 파일을 받아오는데, 현재 해당 사이트는 서비스 중단 되었다. 해당 사이트 중단으로 인하여 시스템이 느려지는 증상이 나타나며, 경우에 따라서는 일부 프로그램과 충돌로 인하여 프로그램이 정상적으로 실행되지 않는 경우도 발생한다. 이러한 오동작이 심각하여 바이로봇 긴급 업데이트(11월 10일자)를 적용하여 본 애드웨어를 진단 및 제거(파일 삭제)를 권고 한다. ◈ 다른 이름 : TROJ_HOTDOG.A
◈ 감염 경로
현재 정확한 감염 경로는 확인중이며, 보편적으로 애드웨어는 다음의 경로를 통하여 설치된다. - 스팸 메일의 광고 - 일부 성인 사이트 또는 신뢰도 없는 사이트의 접속 ◈ 감염후 증상
1.일부 응용 프로그램이 정상적으로 실행되지 않는 현상이 나타나는데, 이는 본 애드웨어가 임의적으로 나타내는 증상이 아니며, 버그로 보인다. 2.인터넷 익스플로러 사용 시 매우 느려지는 현상이 나타나는데, 이는 특정 사이트에서 몇가지 파일을 받아오는 과정에서 해당 서버가 동작중이 아니기 때문에 나타나는 현상이다. 3.다음의 레지스트리에 등록되어 재 부팅시에도 자동으로 실행된다. - HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 이 름 : Hotdog 4.추가적으로 아래의 파일들을 설치 하지만, 바이로봇에서는 아래의 파일들은 진단 및 삭제 하지 않기 때문에 사용자가 수동으로 삭제해야 한다. - hotdogid.ini - config_url.txt - notify_url.txt - result.txt ◈ 치료 방법
- 자동 치료 방법 : 2003년 11월 10일자 바이로봇 업데이트시 진단 및 제거(파일 삭제) 가능하다. - 수동 치료 방법 1.Hotdog.exe 또는 extra.exe 프로세스를 종료 시킨다.(WINNT/2000/XP 에서는 작업 관리자를 이용하여 프로세스를 종료 시킬 수 있으며, 95/98/ME에서는 Ctrl+Alt+Del 키를 눌러 Hotdog.exe 또는 extra.exe 프로세스를 종료시킨다.) 2."시작->검색->파일 또는 폴더" 를 이용하여 파일명 hotdog.exe 또는 extra.exe 이름으로 관련 파일을 찾아 삭제한다. 보통 윈도우 시스템 폴더(일반적으로 C:\Windows\System,C:\Windows\ System32,C:\WinNT\System32)에 설치되어 있다. 3."시작->실행" 에서 'regedit'를 타이핑 후 엔터를 치면 레지스트리 편집기가 실행되는데, 여기서 다음의 경로를 찾아가 Hotdog와 Browser Helper Object폴더를 삭제한다. - HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 이 름 : Hotdog - HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer 폴 더 : Browser Helper Object 4.수동 삭제방법 2번과 같은 방법으로 다음의 파일을 찾거나 탐색기를 띄워 "C\Program files\Windows\"폴더에서 찾아 삭제한다. - hotdogid.ini - config_url.txt or extra_config_url.txt - notify_url.txt or extra_notify_url.txt - result.txt ※ 잘못된 레지스트리의 수정작업은 시스템의 이상을 발생시킬 수 있으므로 수정 작업시 주의 하도록 한다. ◈추가정보/참조사이트
하우리 : Trojan.Win32.Hotra.49152 안철수 연구소 : Trojan.Win32.Hotra.49152 ◈ 문의처
정보통신원 시스템 운영과 (서울) 2989 (천안) 1723