<CENTER>
<span style="font-size:13pt;">
<font face="돋움" color="#1E82FF">인터넷 안전 지대, 안철수 연구소</font></style></span>
<br>
<a href="http://home.ahnlab.com/index.html"target="_blank"><img src="https://img1.daumcdn.net/relay/cafe/original/?fname=http%3A%2F%2Fhome.ahnlab.com%2Fimages%2Ftop_ahnlab.gif"border=0></a>
<a href="http://home.ahnlab.com/index.html"target="_blank"border=0></a>
</CENTER>
<tr><td><img src="/images/line_margin_1x1.gif" width="1" height="5"></td></tr>
<tr><td bgcolor="#7a8490"><img src="/images/line_margin_1x1.gif" width="1" height="1"></td></tr>
<tr><td bgcolor="#d0d4e6" height="25" align="center" valign="middle"><b>Win32/Opasoft.worm. 17408</b></td></tr>
<tr><td bgcolor="#7a8490"><img src="/images/line_margin_1x1.gif" width="1" height="1"></td></tr>
<tr>
<td>
<table width="527" border="0" cellspacing="0" cellpadding="5" align="center" >
<tr>
<td bgcolor="#eeeff4">다른 이름 </td>
<td colspan="3" valign="middle">W32/Opaserv.worm.m, W32.Opaserv.K.Worm, Worm.Win32.Opaserv.I</td>
</tr>
<tr><td colspan="4" bgcolor="#dadada" background="/images/line_margin_1x1.gif"></td></tr>
<tr>
<td bgcolor="#eeeff4">감염시 위험도 </td>
<td colspan="3" valign="middle">
1등급(파괴) <img src=http://my.netian.com/~yangsoone/virus_risk_01.gif>
</td>
</tr>
<tr><td colspan="4" bgcolor="#dadada" background="/images/line_margin_1x1.gif"></td></tr>
<tr>
<td bgcolor="#eeeff4" width="90">확산 위험도</td>
<td width="160">
2등급
</td>
<td bgcolor="#eeeff4" width="100">현재 확산도</td>
<td>
1등급
</td>
</tr>
<tr><td colspan="4" bgcolor="#dadada" background="/images/line_margin_1x1.gif"></td></tr>
<tr>
<td bgcolor="#eeeff4">종류</td>
<td>웜</td>
<td bgcolor="#eeeff4">감염 영역</td>
<td>없음</td>
</tr>
<tr><td colspan="4" bgcolor="#dadada" background="/images/line_margin_1x1.gif"></td></tr>
<tr>
<td bgcolor="#eeeff4">감염 OS</td>
<td>윈도우</td>
<td bgcolor="#eeeff4">감염 경로</td>
<td>네트워크</td>
</tr>
<tr><td colspan="4" bgcolor="#dadada" background="/images/line_margin_1x1.gif"></td></tr>
<tr>
<td bgcolor="#eeeff4">최초발견일</td>
<td>2002-12-20</td>
<td bgcolor="#eeeff4">국내발견일</td>
<td>2002-12-25</td>
</tr>
<tr><td colspan="4" bgcolor="#dadada" background="/images/line_margin_1x1.gif"></td></tr>
<tr>
<td bgcolor="#eeeff4">특정활동일</td>
<td>특정일 활동 없음</td>
<td bgcolor="#eeeff4">제작국</td>
<td>불분명</td>
</tr>
<tr><td colspan="4" bgcolor="#dadada" background="/images/line_margin_1x1.gif"></td></tr>
<tr>
<td bgcolor="#eeeff4">진단 가능 엔진</td>
<td>2002-12-26</td>
<td bgcolor="#eeeff4">치료 가능 엔진</td>
<td>2002-12-26</td>
</tr>
<tr><td colspan="4" bgcolor="#dadada" background="/images/line_margin_1x1.gif"></td></tr>
<tr valign="middle">
<td bgcolor="#eeeff4"> </td>
<td colspan="3" style="color:#dc143c;">※ 표기된 날짜 이후의 엔진으로 진단 및 치료가 가능합니다.</td>
</tr>
<tr><td colspan="4" bgcolor="#dadada" background="/images/line_margin_1x1.gif"></td></tr>
<tr>
<td bgcolor="#fdf7f4" align="center">증상</td>
<td colspan="3" class="line"> - C 드라이브가 읽기/쓰기 공유된 윈도우 9x (95, 98, Me) 계열 시스템이 감염대상이다.
<br>- 트로이 목마에 의해 플로피 부트섹터또는 하드 디스크 마스터 부트섹터가 손상된다. </td>
</tr>
<tr><td colspan="4" bgcolor="#dadada" background="/images/line_margin_1x1.gif"></td></tr>
<tr>
<td bgcolor="#fdf7f4" align="center">내용</td>
<td colspan="3" class="line"><a href="http://home.ahnlab.com/smart2u/virus_detail_1033.html" target=_blink>Win32/Opasoft.worm.28672</a> 의 변형 중 하나로 이 정보를 작성하는 2002년 12월 26일 현재 다수의 피해보고가 접수되었다.
<br>
<br>또한 Win32/Opasoft.worm.17408 과 같은 크기를 가진 또다른 변형인 Win32/Opasoft.worm.17408.B 도 발견 되었다.
<br>
<br><font color="#333399">- 실행후 증상</font>
<br>
<br>웜은 윈도우 9x 의 네트워크 환경에서 C 드라이브가 읽기/쓰기 공유된 시스템을 통해 전파되며, 감염된 시스템은 윈도우 폴더 ( 일반적으로 C:\Windows )에 MQBKUP.EXE 파일이 생성된다.
<br>
<br><img src=http://my.netian.com/~yangsoone/opasoft-m-00.jpg>
<br>
<br>그리고 자신을 다음의 레지스트리에 등록 시킨다.
<br>
<br>HKEY_LOCAL_MACHINE\
<br> Software\
<br> Microsoft\
<br> Windows\
<br> CurrentVersion\
<br> run\ 에 <font color=red>mqbkup = (윈도우 폴더)\mqbkup.exe</font>
<br>
<br><img src=http://my.netian.com/~yangsoone/opasoft-m-01.jpg>
<br>
<br>그리고 웜은 C\ 루트에 두개의 파일을 생성한다. (이 파일들은 시스템 환경에 따라 생성이 안 될 수도 있다.)
<br>
<br>- Boot.exe (약 2,880 바이트) -> 윈도우를 종료하는 기능을 가지고 있음
<br>
<br>- Mslicenf.com (약 1,761 바이트) -> autoexec.bat 파일에 추가되며 디스크 파괴기능을 가지고 있음
<br>
<br><font color="#333399">- 디스크 파괴 증상</font>
<br>
<br>MSLICENF.COM 파일이 실행되면 플로피 디스크(쓰기 방지 기능이 없는 플로피 디스크가 존재할 때)와 하드디스크 드라이브의 부트영역을 변형하고 아래 메시지를 출력하고 하드디스크를 파괴한다.
<br>
<br>NOTICE:
<br>
<br>Illegal Microsoft Windows license detected!
<br>You are in violation of the Digital Millennium Copyright Act!
<br>
<br>Your unauthorized license has been revoked.
<br>
<br>For more information, please call us at:
<br>
<br> 1-888-NOPIRACY
<br>
<br>If you are outside the USA, please look up the correct contact
<br>information on our website, at:
<br>
<br> www.bsa.org
<br>
<br>
<br>Business Software Alliance
<br>Promoting a safe & legal online world."
<br>
<br>사용자가 재부팅해도 변형된 부트영역이 우선 실행되므로 같은 메시지를 출력하고 하드디스크 내용을 파괴한다.
<br>
<br>플로피 디스크로 부팅해서 하드 디스크로 접근하려고 하면 "Invalid drive specification"라는 에러 메시지가 출력된다. 이것은 바이러스에서 출력하는 것이 아니고 도스에서 하드 디스크를 찾을 수 없기 때문에 출력하는 도스 에러 메시지이다.
<br>
<br>* www.bsa.org 는 웜과 관련이 없는 사이트이다.
<br>
<br><img src=http://my.netian.com/~yangsoone/opasoft-m-02.jpg>
<br>
<br>* 이 정보는 2002년 12월 26일 13시 30분에 최초 작성되었으며 2002년 12월 26일 18시 25분에 마지막으로 수정 되었다. 이후 정보는 업데이트및 수정될 예정이다.</td>
</tr>
<tr><td colspan="4" bgcolor="#dadada" background="/images/line_margin_1x1.gif"></td></tr>
<tr>
<td bgcolor="#fdf7f4" align="center">치료방법</td>
<td colspan="3" class="line">- 2002년 12월 26일 업데이트된 긴급엔진으로 진단/치료(삭제) 가능하다. 이 엔진에서는 변형인 Win32/Opasoft.worm.17408.B 진단, 치료(삭제)가 가능하다.
<br>
<br>- 손상된 하드 디스크 경우 mslicenf.com 파일이 마스터 부트 레코드에 자신을 기록하고 다른 영역까지 쓰기 때문에 데이타 영역까지 파괴된다. 따라서 이런 경우는 복구될 수 없다. 하드 디스크의 복구 여부는 데이타 복구센터를 이용해 먼저 확인해 보는 것이 좋다.</td>
</tr>
<tr><td colspan="4" bgcolor="#dadada" background="/images/line_margin_1x1.gif"></td></tr>
<tr>
<td bgcolor="#fdf7f4" align="center">참고사항</td>
<td colspan="3" class="line">* C 드라이브 전체가 공유된 경우 반드시 공유를 먼저 해제한다. C 드라이브 전체를 읽기/쓰기 공유한 경우는 보안상 매우 위험하므로 추후에도 공유하지 않아야 한다. 공유가 필요한 경우 사용자별로 접근하도록 지정하고 읽기권한만 주도록 하는게 보안상 안전하다.</td>
</tr>
<tr><td colspan="4" bgcolor="#7a849d" background="/images/line_margin_1x1.gif"></td></tr>
</table>
<!-- -->
