<center><table background=http://innerspace.com.ne.kr/image/33.gif cellpadding=20><tr><td><table bgcolor=black cellpadding=20 width="450"><tr><td bgcolor=black>
<TR><TD><center><br>
<FONT SIZE=3 color=red face=궁서체><pre>
◆ [5급] Win32/Smibag.worm.163840 바이러스 출현</pre></font><br>
<FONT SIZE=3 color=white face=굴림체><pre>
Win32/Smibag.worm.163840.B는
2003년 9월 26일 오전에 발견된
Win32/Smibag.worm.163840의 변형으로
정보를 작성하는 2003년 9월 29일 오전 현재
한건의 샘플을 고객으로부터 접수 받았다.
웜은 MSN 메신저를 이용 SMB.EXE(163,840 바이트) 란
파일명으로 전파된다.
즉, 사용자가 다른 상대방으로부터
온 파일을 받는 창에서 파일을 받은 후 실행하면
MSN 메신저에 등록된 사용자중
온라인 사용자들에게 자신을 전파한다.
실행하면 도스창이 잠깐 보였다가 사라지는데
이는 웜 내부에 압축된 형태로 가지고 있는
파일을 해제하는 과정이다.
압축이 해제된 파일들은
C:\ 와 윈도우 시스템 폴더에 복사된 후
레지스트리에 자신을 추가하여
성인 사이트 웹 페이지를
띄우는 것으로 추정된다.
- 실행후 증상
smb.exe(163,840 바이트)는 MSN 메신저로 전파되며
관련 파일을 포함하는
설치 프로그램(드롭퍼, Dropper)으로
ZIP 파일을 푸는 uz.exe(50,688 바이트)
파일과 ext.zip 파일을 포함하고 있다.
ext.zip 파일은 admagic.exe, atl.dll,
msnzz.exe(원형은 msnVC.exe),
raw32y.dll(원형은 raw32x.dll),
sm5.dll(원형은 sm.dll) 파일을 압축하고 있다.
admagic.exe 파일과 msnzz.exe 파일은
원형의 파일과 내용이 동일해
2003년 9월 26일자 엔진버전 이상의
V3에서 진단/삭제가 가능하다.
자세한 내용은 아래 사이트를 참조 하세요..
</font></pre>
<center>
<a href=http://home.ahnlab.com/smart2u/virus_detail_1224.html>
<font color=red>
★안철수 연구소★</font> </a>
</center></td></tr></table></center>
<!-- -->
