<STYLE>P{margin-top:2px;margin-bottom:2px;}</STYLE>
<TABLE cellSpacing=0 cellPadding=0 width=547 align=center border=0>
<TBODY>
<TR bgColor=#f3f3f3 height=24>
<TD width=503><B>증상 및 요약</B></TD>
<TD align=right><A href="http://info.ahnlab.com/smart2u/virus_detail_1642.html#top" xxxxonfocus="this.blur()">
<IMG height=24 src="https://img1.daumcdn.net/relay/cafe/original/?fname=http%3A%2F%2Fimage.ahnlab.com%2Finfo%2Fsecurityinfo%2Fbutton_virus_detail_top.gif" width=44 border=0></A></TD></TR>
<TR>
<TD bgColor=#b9b9b9 colSpan=2 height=1>
<IMG height=1 src="https://img1.daumcdn.net/relay/cafe/original/?fname=http%3A%2F%2Fimage.ahnlab.com%2Fline_margin_1x1.gif" width=1></TD></TR>
<TR>
<TD class=line style="PADDING-RIGHT: 15px; PADDING-LEFT: 15px; PADDING-BOTTOM: 20px; PADDING-TOP: 15px" colSpan=2>Win32/Bropia.worm.188928 는 MSN 메신저로 전파되는 웜이다. 메신저에 첨부된 파일을 실행하면 통닭 이미지가 보여지고 C:\ 에 웜 복사본을 생성해둔다. 또한 윈도우 시스템 폴더에도 웜 복사본인 msnus.exe 파일을 생성한다. 또한 웜은 내부에 악성 IRCBot 웜을 포함하고 있으며 이 웜은 winhost.exe 파일명으로 생성된다. 웜은 MSN 메신저에 온라인으로 등록된 사용자들에게 웜이 첨부된 메시지를 하나이상 보낸다. </TD></TR>
<TR>
<TD bgColor=#76be22 colSpan=2 height=2><A name=#1>
<IMG height=1 src="https://img1.daumcdn.net/relay/cafe/original/?fname=http%3A%2F%2Fimage.ahnlab.com%2Fline_margin_1x1.gif" width=1></A></TD></TR>
<TR bgColor=#f3f3f3 height=24>
<TD> <B>상세정보</B></TD>
<TD align=right><A href="http://info.ahnlab.com/smart2u/virus_detail_1642.html#top" xxxxonfocus="this.blur()">
<IMG height=24 src="https://img1.daumcdn.net/relay/cafe/original/?fname=http%3A%2F%2Fimage.ahnlab.com%2Finfo%2Fsecurityinfo%2Fbutton_virus_detail_top.gif" width=44 border=0></A></TD></TR>
<TR>
<TD bgColor=#b9b9b9 colSpan=2 height=1>
<IMG height=1 src="https://img1.daumcdn.net/relay/cafe/original/?fname=http%3A%2F%2Fimage.ahnlab.com%2Fline_margin_1x1.gif" width=1></TD></TR>
<TR>
<TD class=line style="PADDING-RIGHT: 15px; PADDING-LEFT: 15px; PADDING-BOTTOM: 20px; PADDING-TOP: 15px" colSpan=2><FONT color=#333399>* 확산 정도</FONT> <BR><BR>정보를 작성하는 2005년 2월 3일 9시 00분(GMT+9 기준) 현재 안철수연구소는 고객으로부터 다수의 감염 보고를 받았다. <BR><BR><FONT color=#333399>* 감염대상 및 전파방법 </FONT><BR><BR>MSN 메신저(MSN Messenger)를 통해 전파된다. 웜은 MSN 메신저의 대화 상대 리스트에서 현재 온라인된 사용자들에게 웜 파일을 전송하고 사용자가 파일을 받아 실행할 경우 감염된다. 웜은 파일을 전송하고 나면 메신저 함수중 하나를 이용하여 감염된 보낸사용자의 메신저 상태를 오프라인으로 변경하기도 한다. <BR><BR>전송되는 파일의 확장자는 *.SCR, *. PIF 등이며 파일길이는 약 185 킬로바이트(188,928 bytes)이다. <BR><BR>전송되는 파일명은 다음과 같다. <BR><BR>- LOL.scr <BR>- Webcam.pif <BR>- bedroom-thongs.pif <BR>- naked_drunk.pif <BR>- LMAO.pif <BR>- ROFL.pif <BR>- underware.pif <BR>- Hot.pif <BR>- webcam.pif <BR><BR>웜은 2개의 실행파일이 하나로 구성되어 있다. 첫 번째 파일은 MSN 웜으로 본체는 비주얼 베이직으로 작성되었으며 다른 하나의 파일은 악성 IRCBot 으로 비주얼 C++ 로 제작되었다. <BR><BR><FONT color=#333399>* 실행후 증상 </FONT><BR><BR>메신저에 첨부된 파일을 실행하면 다음의 이미지가 출력된다. <BR><BR>
<IMG src="https://img1.daumcdn.net/relay/cafe/original/?fname=http%3A%2F%2Fimage.ahnlab.com%2Finfo%2Fsecurityinfo%2Fvirusinfo%2Fbropia-g00.jpg"> <BR><BR>윈도우 시스템 폴더에 다음 파일이 생성된다. <BR><BR>- msnus.exe (188,928 바이트) : 웜 본체, 아래의 IRCBot을 포함하고 있으며 실행압축된 형태 <BR>- winhost.exe (124,426 바이트) : IRCBot 변형, V3는 Win32/IRCBot.worm.124416.E <BR><BR>(윈도우 시스템 폴더는 사용 윈도우에 따라 다르며 보통 윈도우 95/98/ME는 C:\Windows\System, 윈도우 NT/2000은 C:\WinNT\System32, 윈도우 XP는 C:\Windows\System32 폴더이다.) <BR><BR>웜은 또한 C:\ 에도 실행될 때 마다 다음의 웜 복사본을 생성해둔다. <BR><BR>- LOL.scr <BR>- Webcam.pif <BR>- bedroom-thongs.pif <BR>- naked_drunk.pif <BR>- LMAO.pif <BR>- ROFL.pif <BR>- underware.pif <BR>- Hot.pif <BR>- webcam.pif <BR><BR>웜 내부에 포함된 악성 IRCBot 웜은 다음처럼 레지스트리에 등록되어 이후 부팅시마다 실행된다. <BR><BR>HKEY_CURRENT_USER\ <BR> Software\ <BR> Microsoft\ <BR> OLE <BR> <FONT color=red>win32 = winhost.exe</FONT> <BR><BR>HKEY_LOCAL_MACHINE\ <BR> SOFTWARE\Microsoft\ <BR> Windows\ <BR> CurrentVersion\ <BR> Run <BR> <FONT color=red>win32 = winhost.exe</FONT> <BR><BR>HKEY_LOCAL_MACHINE\ <BR> SOFTWARE\ <BR> Microsoft\ <BR> Windows\ <BR> CurrentVersion\ <BR> RunServices <BR> <FONT color=red>win32 = winhost.exe</FONT> <BR><BR>악성 IRCBot 웜의 파일명은 다음의 파일중에서 하나가 될 수도 있으며 또한 이 파일들의 존재여부를 확인하기도 한다. <BR><BR>- winhost.exe <BR>- winis.exe <BR>- dnsserv.exe <BR>- cz.exe <BR><BR><FONT color=#333399>* 그외 증상 </FONT><BR><BR>웜은 감염된 시스템의 Mixer 정보를(현재 시스템에 기본으로 설정된 오디오 정보) 얻어온 후 메인 볼륨을 0 으로 설정한다. 따라서 웜에 감염된 상태에서는 미디어 관련 파일을 재생하여도 소리가 나지 않는 증상이 있다. 따라서 웜을 치료한 후에는 제어판 -> 멀티미디어 정보에서 메인볼륨을 알맞게 설정해야한다. <BR><BR><FONT color=#333399>* 수동조치법</FONT> <BR><BR>다음 프로세스를 'Windows 작업 관리자' 등을 통해 '프로세스 끝내기'로 종료 시킨 후 파일을 삭제하면된다. <BR><BR>다음 파일은 윈도우 시스템 폴더에 존재한다. <BR><BR>- msnus.exe <BR>- winhost.exe <BR><BR><FONT color=#333399>* 변형정보</FONT><BR><A href="http://info.ahnlab.com/smart2u/virus_detail_1630.html" target=_blank>Win32/Bropia.worm.159744<BR></A></TD></TR>
<TR>
<TD bgColor=#76be22 colSpan=2 height=2><A name=#2>
<IMG height=1 src="https://img1.daumcdn.net/relay/cafe/original/?fname=http%3A%2F%2Fimage.ahnlab.com%2Fline_margin_1x1.gif" width=1></A></TD></TR>
<TR bgColor=#f3f3f3 height=24>
<TD> <B>치료법</B></TD>
<TD align=right><A href="http://info.ahnlab.com/smart2u/virus_detail_1642.html#top" xxxxonfocus="this.blur()">
<IMG height=24 src="https://img1.daumcdn.net/relay/cafe/original/?fname=http%3A%2F%2Fimage.ahnlab.com%2Finfo%2Fsecurityinfo%2Fbutton_virus_detail_top.gif" width=44 border=0></A></TD></TR>
<TR>
<TD bgColor=#b9b9b9 colSpan=2 height=1>
<IMG height=1 src="https://img1.daumcdn.net/relay/cafe/original/?fname=http%3A%2F%2Fimage.ahnlab.com%2Fline_margin_1x1.gif" width=1></TD></TR>
<TR>
<TD class=line style="PADDING-RIGHT: 15px; PADDING-LEFT: 15px; PADDING-BOTTOM: 20px; PADDING-TOP: 15px" colSpan=2>* V3Pro 2002 Deluxe / V3Pro 2004 / V3Net for Windows Server 사용자 <BR><BR>1. 사용 제품을 실행 후 [업데이트] 버튼이나 업데이트 파일을 통해 최신 엔진 및 패치 파일로 업데이트 한다. <BR><BR>2. 검사할 드라이브를 지정하고 검사를 시작한다. <BR><BR>3. 프로세스에서 실행중인 관련 악성코드가 진단되면 안내되는 메시지의 '강제종료후 치료' 선택한다. 종료된 악성코드는 자동 치료(삭제)된다. <BR><BR>4. 프로세스 검사와 지정 드라이브 검사가 끝나면 치료창이 보여진다. 여기서 '전체목록치료' 버튼을 눌러 진단된 악성코드를 치료(삭제)한다. <BR><BR>5. 필요시 추가/변경 된 레지스트리 값은 자동수정된다. <BR><BR><BR><FONT color=#333399>* MyV3 사용자</FONT> <BR><BR>1. MyV3 사이트(<A href="http://clinic.ahnlab.com/clinic/myv3.html" target=blank> http://clinic.ahnlab.com/clinic/myv3.html </A>등)에 접속해 실행한다. 만약 MyV3의 액티브 X 컨트롤이 설치되어 있지 않다면 '보안 경고'창에서 '예'를 눌러 설치한다. <BR><BR>2. MyV3를 최신 버전으로 업데이트 된다. <BR><BR>3. 검사할 드라이브를 지정하고 [검사시작] 버튼을 눌러 검사를 시작한다. <BR><BR>4. 프로세스에서 실행중인 관련 악성코드가 진단되면 안내되는 메시지의 '강제종료후 <BR>치료' 선택한다. 종료된 악성코드는 자동 치료(삭제)된다. <BR><BR>5. 프로세스 검사와 지정 드라이브 검사가 끝나면 치료창이 보여진다. 여기서 '전체목 <BR>록치료' 버튼을 눌러 진단된 악성코드를 치료(삭제)한다. <BR><BR>6. 필요시 추가/변경 된 레지스트리 값은 자동수정된다. <BR><BR><BR><BR> </TD></TR>
<TR>
<TD bgColor=#76be22 colSpan=2 height=2><A name=#3>
<IMG height=1 src="https://img1.daumcdn.net/relay/cafe/original/?fname=http%3A%2F%2Fimage.ahnlab.com%2Fline_margin_1x1.gif" width=1></A></TD></TR>
<TR bgColor=#f3f3f3 height=24>
<TD> <B>예방법</B></TD>
<TD align=right><A href="http://info.ahnlab.com/smart2u/virus_detail_1642.html#top" xxxxonfocus="this.blur()">
<IMG height=24 src="https://img1.daumcdn.net/relay/cafe/original/?fname=http%3A%2F%2Fimage.ahnlab.com%2Finfo%2Fsecurityinfo%2Fbutton_virus_detail_top.gif" width=44 border=0></A></TD></TR>
<TR>
<TD bgColor=#b9b9b9 colSpan=2 height=1>
<IMG height=1 src="https://img1.daumcdn.net/relay/cafe/original/?fname=http%3A%2F%2Fimage.ahnlab.com%2Fline_margin_1x1.gif" width=1></TD></TR>
<TR>
<TD class=line style="PADDING-RIGHT: 15px; PADDING-LEFT: 15px; PADDING-BOTTOM: 20px; PADDING-TOP: 15px" colSpan=2>내부로 유입되는 웜을 차단하기 위해서는 MSN 메신저의 파일 전송 포트인 TCP 6891 번 - 6900 번 포트를 방화벽으로 들어오고 나가는 패킷을 차단하면된다. </TD></TR></TBODY></TABLE>
<P>출처</P>
<P>-안철수 연구소-</P>
<!-- -->
그냥 뉴스인줄 알고 지나쳤었습니다. 글 내용을 보니 v3 를 써서 치료하란말같습니다만..^^ 예방법은 다른 백신사용자에게도 해당되는 건지.. 궁금.. KAV, F-prot 사용자는 예방법은 안해도 상관없을 듯. 꾸리한남님.. 저희카페가 V3 안티성 카페라는 것을 모르진 않겠지요? 이렇게 글써주시면 . v3를 사용하라는 말?
첫댓글 v3을 안 쓰는지라... 위험도는 알 수가 없네요
v3랑 위험도랑 상관없죠~^^~지금 인터넷 가면 요놈 웜때문에 난리났습니다~
그냥 뉴스인줄 알고 지나쳤었습니다. 글 내용을 보니 v3 를 써서 치료하란말같습니다만..^^ 예방법은 다른 백신사용자에게도 해당되는 건지.. 궁금.. KAV, F-prot 사용자는 예방법은 안해도 상관없을 듯. 꾸리한남님.. 저희카페가 V3 안티성 카페라는 것을 모르진 않겠지요? 이렇게 글써주시면 . v3를 사용하라는 말?
말아닌가요. 다른 추천백신 쓰면 해결될 일을 v3로 어렵게 돌아가서야 되겠습니까.