증상 및 요약 | |
Win32/Bropia.worm.188928 는 MSN 메신저로 전파되는 웜이다. 메신저에 첨부된 파일을 실행하면 통닭 이미지가 보여지고 C:\ 에 웜 복사본을 생성해둔다. 또한 윈도우 시스템 폴더에도 웜 복사본인 msnus.exe 파일을 생성한다. 또한 웜은 내부에 악성 IRCBot 웜을 포함하고 있으며 이 웜은 winhost.exe 파일명으로 생성된다. 웜은 MSN 메신저에 온라인으로 등록된 사용자들에게 웜이 첨부된 메시지를 하나이상 보낸다. | |
상세정보 | |
* 확산 정도 정보를 작성하는 2005년 2월 3일 9시 00분(GMT+9 기준) 현재 안철수연구소는 고객으로부터 다수의 감염 보고를 받았다. * 감염대상 및 전파방법 MSN 메신저(MSN Messenger)를 통해 전파된다. 웜은 MSN 메신저의 대화 상대 리스트에서 현재 온라인된 사용자들에게 웜 파일을 전송하고 사용자가 파일을 받아 실행할 경우 감염된다. 웜은 파일을 전송하고 나면 메신저 함수중 하나를 이용하여 감염된 보낸사용자의 메신저 상태를 오프라인으로 변경하기도 한다. 전송되는 파일의 확장자는 *.SCR, *. PIF 등이며 파일길이는 약 185 킬로바이트(188,928 bytes)이다. 전송되는 파일명은 다음과 같다. - LOL.scr - Webcam.pif - bedroom-thongs.pif - naked_drunk.pif - LMAO.pif - ROFL.pif - underware.pif - Hot.pif - webcam.pif 웜은 2개의 실행파일이 하나로 구성되어 있다. 첫 번째 파일은 MSN 웜으로 본체는 비주얼 베이직으로 작성되었으며 다른 하나의 파일은 악성 IRCBot 으로 비주얼 C++ 로 제작되었다. * 실행후 증상 메신저에 첨부된 파일을 실행하면 다음의 이미지가 출력된다. 윈도우 시스템 폴더에 다음 파일이 생성된다. - msnus.exe (188,928 바이트) : 웜 본체, 아래의 IRCBot을 포함하고 있으며 실행압축된 형태 - winhost.exe (124,426 바이트) : IRCBot 변형, V3는 Win32/IRCBot.worm.124416.E (윈도우 시스템 폴더는 사용 윈도우에 따라 다르며 보통 윈도우 95/98/ME는 C:\Windows\System, 윈도우 NT/2000은 C:\WinNT\System32, 윈도우 XP는 C:\Windows\System32 폴더이다.) 웜은 또한 C:\ 에도 실행될 때 마다 다음의 웜 복사본을 생성해둔다. - LOL.scr - Webcam.pif - bedroom-thongs.pif - naked_drunk.pif - LMAO.pif - ROFL.pif - underware.pif - Hot.pif - webcam.pif 웜 내부에 포함된 악성 IRCBot 웜은 다음처럼 레지스트리에 등록되어 이후 부팅시마다 실행된다. HKEY_CURRENT_USER\ Software\ Microsoft\ OLE win32 = winhost.exe HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\ Windows\ CurrentVersion\ Run win32 = winhost.exe HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ RunServices win32 = winhost.exe 악성 IRCBot 웜의 파일명은 다음의 파일중에서 하나가 될 수도 있으며 또한 이 파일들의 존재여부를 확인하기도 한다. - winhost.exe - winis.exe - dnsserv.exe - cz.exe * 그외 증상 웜은 감염된 시스템의 Mixer 정보를(현재 시스템에 기본으로 설정된 오디오 정보) 얻어온 후 메인 볼륨을 0 으로 설정한다. 따라서 웜에 감염된 상태에서는 미디어 관련 파일을 재생하여도 소리가 나지 않는 증상이 있다. 따라서 웜을 치료한 후에는 제어판 -> 멀티미디어 정보에서 메인볼륨을 알맞게 설정해야한다. * 수동조치법 다음 프로세스를 'Windows 작업 관리자' 등을 통해 '프로세스 끝내기'로 종료 시킨 후 파일을 삭제하면된다. 다음 파일은 윈도우 시스템 폴더에 존재한다. - msnus.exe - winhost.exe * 변형정보 Win32/Bropia.worm.159744 | |
치료법 | |
* V3Pro 2002 Deluxe / V3Pro 2004 / V3Net for Windows Server 사용자 1. 사용 제품을 실행 후 [업데이트] 버튼이나 업데이트 파일을 통해 최신 엔진 및 패치 파일로 업데이트 한다. 2. 검사할 드라이브를 지정하고 검사를 시작한다. 3. 프로세스에서 실행중인 관련 악성코드가 진단되면 안내되는 메시지의 '강제종료후 치료' 선택한다. 종료된 악성코드는 자동 치료(삭제)된다. 4. 프로세스 검사와 지정 드라이브 검사가 끝나면 치료창이 보여진다. 여기서 '전체목록치료' 버튼을 눌러 진단된 악성코드를 치료(삭제)한다. 5. 필요시 추가/변경 된 레지스트리 값은 자동수정된다. * MyV3 사용자 1. MyV3 사이트( http://clinic.ahnlab.com/clinic/myv3.html 등)에 접속해 실행한다. 만약 MyV3의 액티브 X 컨트롤이 설치되어 있지 않다면 '보안 경고'창에서 '예'를 눌러 설치한다. 2. MyV3를 최신 버전으로 업데이트 된다. 3. 검사할 드라이브를 지정하고 [검사시작] 버튼을 눌러 검사를 시작한다. 4. 프로세스에서 실행중인 관련 악성코드가 진단되면 안내되는 메시지의 '강제종료후 치료' 선택한다. 종료된 악성코드는 자동 치료(삭제)된다. 5. 프로세스 검사와 지정 드라이브 검사가 끝나면 치료창이 보여진다. 여기서 '전체목 록치료' 버튼을 눌러 진단된 악성코드를 치료(삭제)한다. 6. 필요시 추가/변경 된 레지스트리 값은 자동수정된다. | |
예방법 | |
내부로 유입되는 웜을 차단하기 위해서는 MSN 메신저의 파일 전송 포트인 TCP 6891 번 - 6900 번 포트를 방화벽으로 들어오고 나가는 패킷을 차단하면된다. |
출처
-안철수 연구소-
첫댓글 v3을 안 쓰는지라... 위험도는 알 수가 없네요
v3랑 위험도랑 상관없죠~^^~지금 인터넷 가면 요놈 웜때문에 난리났습니다~
그냥 뉴스인줄 알고 지나쳤었습니다. 글 내용을 보니 v3 를 써서 치료하란말같습니다만..^^ 예방법은 다른 백신사용자에게도 해당되는 건지.. 궁금.. KAV, F-prot 사용자는 예방법은 안해도 상관없을 듯. 꾸리한남님.. 저희카페가 V3 안티성 카페라는 것을 모르진 않겠지요? 이렇게 글써주시면 . v3를 사용하라는 말?
말아닌가요. 다른 추천백신 쓰면 해결될 일을 v3로 어렵게 돌아가서야 되겠습니까.