다른 이름 |
W32/Opaserv.worm.m, W32.Opaserv.K.Worm, Worm.Win32.Opaserv.I |
|
감염시 위험도 |
1등급(파괴)
|
|
확산 위험도 |
2등급
|
현재 확산도 |
1등급
|
|
종류 |
웜 |
감염 영역 |
없음 |
|
감염 OS |
윈도우 |
감염 경로 |
네트워크 |
|
최초발견일 |
2002-12-20 |
국내발견일 |
2002-12-25 |
|
특정활동일 |
특정일 활동 없음 |
제작국 |
불분명 |
|
진단 가능 엔진 |
2002-12-26 |
치료 가능 엔진 |
2002-12-26 |
|
|
※ 표기된 날짜 이후의 엔진으로 진단 및 치료가 가능합니다. |
|
증상 |
- C 드라이브가 읽기/쓰기 공유된 윈도우 9x (95, 98, Me) 계열 시스템이 감염대상이다.
- 트로이 목마에 의해 플로피 부트섹터또는 하드 디스크 마스터 부트섹터가 손상된다. |
|
내용 |
Win32/Opasoft.worm.28672 의 변형 중 하나로 이 정보를 작성하는 2002년 12월 26일 현재 다수의 피해보고가 접수되었다.
또한 Win32/Opasoft.worm.17408 과 같은 크기를 가진 또다른 변형인 Win32/Opasoft.worm.17408.B 도 발견 되었다.
- 실행후 증상
웜은 윈도우 9x 의 네트워크 환경에서 C 드라이브가 읽기/쓰기 공유된 시스템을 통해 전파되며, 감염된 시스템은 윈도우 폴더 ( 일반적으로 C:\Windows )에 MQBKUP.EXE 파일이 생성된다.
그리고 자신을 다음의 레지스트리에 등록 시킨다.
HKEY_LOCAL_MACHINE\
Software\
Microsoft\
Windows\
CurrentVersion\
run\ 에 mqbkup = (윈도우 폴더)\mqbkup.exe
그리고 웜은 C\ 루트에 두개의 파일을 생성한다. (이 파일들은 시스템 환경에 따라 생성이 안 될 수도 있다.)
- Boot.exe (약 2,880 바이트) -> 윈도우를 종료하는 기능을 가지고 있음
- Mslicenf.com (약 1,761 바이트) -> autoexec.bat 파일에 추가되며 디스크 파괴기능을 가지고 있음
- 디스크 파괴 증상
MSLICENF.COM 파일이 실행되면 플로피 디스크(쓰기 방지 기능이 없는 플로피 디스크가 존재할 때)와 하드디스크 드라이브의 부트영역을 변형하고 아래 메시지를 출력하고 하드디스크를 파괴한다.
NOTICE:
Illegal Microsoft Windows license detected!
You are in violation of the Digital Millennium Copyright Act!
Your unauthorized license has been revoked.
For more information, please call us at:
1-888-NOPIRACY
If you are outside the USA, please look up the correct contact
information on our website, at:
www.bsa.org
Business Software Alliance
Promoting a safe & legal online world."
사용자가 재부팅해도 변형된 부트영역이 우선 실행되므로 같은 메시지를 출력하고 하드디스크 내용을 파괴한다.
플로피 디스크로 부팅해서 하드 디스크로 접근하려고 하면 "Invalid drive specification"라는 에러 메시지가 출력된다. 이것은 바이러스에서 출력하는 것이 아니고 도스에서 하드 디스크를 찾을 수 없기 때문에 출력하는 도스 에러 메시지이다.
* www.bsa.org 는 웜과 관련이 없는 사이트이다.
* 이 정보는 2002년 12월 26일 13시 30분에 최초 작성되었으며 2002년 12월 26일 18시 25분에 마지막으로 수정 되었다. 이후 정보는 업데이트및 수정될 예정이다. |
|
치료방법 |
- 2002년 12월 26일 업데이트된 긴급엔진으로 진단/치료(삭제) 가능하다. 이 엔진에서는 변형인 Win32/Opasoft.worm.17408.B 진단, 치료(삭제)가 가능하다.
- 손상된 하드 디스크 경우 mslicenf.com 파일이 마스터 부트 레코드에 자신을 기록하고 다른 영역까지 쓰기 때문에 데이타 영역까지 파괴된다. 따라서 이런 경우는 복구될 수 없다. 하드 디스크의 복구 여부는 데이타 복구센터를 이용해 먼저 확인해 보는 것이 좋다. |
|
참고사항 |
* C 드라이브 전체가 공유된 경우 반드시 공유를 먼저 해제한다. C 드라이브 전체를 읽기/쓰기 공유한 경우는 보안상 매우 위험하므로 추후에도 공유하지 않아야 한다. 공유가 필요한 경우 사용자별로 접근하도록 지정하고 읽기권한만 주도록 하는게 보안상 안전하다. |
|