이름

W32/Bagle.P@mm

바이러스 종류

Worm

실행환경

Windows

증상요약

null

위험등급

null

확산방법

null

치료방법

터보백신Ai, 터보백신 Online, 터보백신 2001 제품군으로 치료가능.<br> <br> 치료 후 근본적인 해결을 위해 다음의 윈도우즈 보안패치를 수행 하시기 바랍니다. <br> <br> <br><b>Internet Explorer 누적 보안 업데이트(832894):MS04-004 </b> <br><a href="http://www.microsoft.com/korea/technet/security/bulletin/MS04-004.asp" target="_blink"> <br>http://www.microsoft.com/korea/technet/security/bulletin/MS04-004.asp</a> <br> <br> 터보백신 Ai를 사용하시고 아웃룩을 사용하신 다면 반드시 이메일 감시기를 실행하시기 바랍니다.<br>  

※ 상세 설명

이 웜은 이메일을 통하여 전파되며, 바이러스를 포함한 이메일은 아래와 같은 제목으로 전파된다. <br> <br> [메일 제목] <br> <br> Account notify <br> E-mail account disabling warning. <br> E-mail account security warning. <br> E-mail technical support message. <br> E-mail technical support warning. <br> E-mail warning <br> Email account utilization warning. <br> Email report <br> Encrypted document <br> Fax Message Received <br> Forum notify <br> Hidden message <br> Important notify <br> Important notify about your e-mail account. <br> Incoming message <br> Notify about using the e-mail account. <br> Notify about your e-mail account utilization. <br> Notify from e-mail technical support. <br> Pass - %s <br> Password - %s <br> Password: %s <br> Protected message <br> RE: Protected message <br> RE: Text message <br> Re: Document <br> Re: Hello <br> Re: Hi <br> Re: Incoming Fax <br> Re: Incoming Message <br> Re: Msg reply <br> Re: Thank you! <br> Re: Thanks :) <br> Re: Yahoo! <br> Request response <br> Site changes <br> Warning about your e-mail account. <br> <br> <br> [메일 내용] <br> <br> <br> <br><img src="http://www.everyzone.com/info/virus_db/images/bagle_P_outlook.jpg" border="0"> <br> <br> (웜이 발송한 메일의 예)<br> <br> 1. 메일 제목: RE: Text message<br> <br> 본문 내용: 빈화면(HTML 로 구성)<br> <br> 첨부파일 이름 : 빈화면(HTML 로 구성)<br> <br> <br> 2. 메일 제목: Fax Message Received<br> <br> 본문 내용: 빈화면(HTML 로 구성)<br> <br> 첨부파일 이름 : 없음<br> <br> <br> [특징] <br> <br> 웜의 특징을 가지고 있는 다형성 바이러스로써 exe 파일을 감염시킨다.<br> 감염된 파일의 크기는 일정하지 않으며 암호화 되있다.(W32/Bagle.P 로 진단)<br> <br> 81번 포트를 열어 두고 ip 가 일정하지 않은 것으로 보아 감염된 컴퓨터를 다운로드 서버로 이용하는 것으로 보인다.<br> <br> 감염된 컴퓨터의 81번 포트를 통하여 임의의 hta 파일을 받아 실행 되면 q.vbs를 생성하게 된다. <br>이 파일이 실행 되면 확장자가 jpeg(실행 파일) 를 내려 받아 SM.EXE 파일로 이름이 변경되 실행된다.<br> <br> 다음과 같이 윈도우 시스템 폴더(win 2000, NT : c:\Wint\system32, win XP : c:\windows\system32) 에 directs.exe(25,600 byte), directs.exeopen(26,088 byte) 파일을 생성한다.<br> <br> 그리고 c:\winnt 또는 c:\windows 에 q.vbs(약 1kbyte)를 생성한다.<br> <br> 또한, 다음처럼 레지스트를 수정하여 다음 부팅시 실행되도록 조작한다. <br> HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 항목에<br> <br> (win9x의 경우) <br> directs.exe = c:\windows\system\directs.exe <br> <br> (win2000, NT의 경우) <br> directs.exe = c:\winnt\system32\directs.exe<br> <br> (WinXP의 경우) <br> directs.exe = c:\windows\system32\directs.exe<br> <br> 를 기록한다. <br> <br> 다음으로 .HTM, .HTML,, .TXT, .WAB, .PHP, .XLS, XML, .MSG, .mbx, .mdx, .jsp, .eml, .cgi 확장자를 지닌 파일에서 메일 주소를 수집하여 지체 SMTP를 이용하여 웜이 첨부된 메일을 발송하지만 다음 도메인으로는 감염된 메일이 발송되지 않는다.<br> <br> @avp.<br> @hotmail.com <br> @iana <br> @messagelab <br> @microsoft <br> abuse <br> admin <br> anyone@ <br> bugs@ <br> cafee <br> certific <br> contract@ <br> f-secur <br> feste <br> free-av <br> gold-certs@ <br> google <br> help@ <br> icrosoft <br> info@ <br> linux <br> listserv <br> local <br> nobody@ <br> noone@ <br> noreply <br> ntivi <br> panda <br> postmaster@ <br> rating@<br> root@ <br> samples <br> sopho <br> support <br> winrar <br> winzip <br> <br> <br> P2P 공유 프로그램을 사용할때 바이러스를 유포하기 위해 shar 를 포함한 폴더에 다음과 같은 파일을 생성할 수 있다.<br> <br> ACDSee 9.exe <br> Adobe Photoshop 9 full.exe <br> Ahead Nero 7.exe <br> Matrix 3 Revolution English Subtitles.exe <br> Microsoft Office 2003 Crack, Working!.exe <br> Microsoft Office XP working Crack, Keygen.exe <br> Microsoft Windows XP, WinXP Crack, working Keygen.exe <br> Opera 8 New!.exe <br> Porno Screensaver.scr<br> Porno pics arhive, xxx.exe <br> Porno, sex, oral, anal cool, awesome!!.exe <br> Serials.txt.exe <br> WinAmp 5 Pro Keygen Crack Update.exe <br> WinAmp 6 New!.exe <br> Windown Longhorn Beta Leak.exe <br> Windows Sourcecode update.doc.exe <br> XXX hardcore images.exe <br> <br> 그리고 netsky 웜이 생성한 다음과 같은 레지스트리 키를 삭제 한다.<br> <br> 9XHtProtect <br> Antivirus <br> HtProtect <br> ICQ Net <br> ICQNet <br> My AV <br> Special Firewall Service <br> Tiny AV <br> Zone Labs Client Ex <br> service <br> <br> <br> 또한 일 부 보안 관련 프로세스를 종료 하며 마지막으로 TCP 2556 , 81 포트를 열어두며는데 실제 81번 포트를 이용하여 오픈된 메일에서는 해당 포트로 감염된 웜을 내려 받게 된다.<br> <br>

※ 예방 및 수동 조치 방법

• 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
• 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요