- 바이러스 정보
- 터보백신에서 분석한 바이러스 위협 정보, 보안 통계를 확인할 수 있습니다.
- 이름
- W32/Bagle.3076@mm
- 바이러스 종류
- Worm
- 실행환경
- Windows
- 증상요약
- null
- 위험등급
- null
- 확산방법
- null
- 치료방법
- 터보백신Ai, 터보백신 Online, 터보백신 2001 제품군으로 치료가능.
터보백신 Ai를 사용하시고 아웃룩을 사용하신 다면 반드시 이메일 감시기를
실행하시기 바랍니다.
- ※ 상세 설명
- 이 웜은 이메일을 통하여 전파되며, 기존 W32/Bagle.Y@m 가 사용했던 확장자 .hta, .vbs
감염파일이 빠져 있으며, 자체 SMTP를 사용하여 확산 속도가 빠르다.<br>
<br>
[메일 제목] <br>
<br>
Delivery service mail <br>
Delivery by mail <br>
Registration is accepted <br>
Is delivered mail <br>
You are made active <br>
<br>
[메일 내용] <br>
<br>
Before use read the help <br>
Thanks for use of our software. <br>
<br>
[첨부파일]<br>
<br>
확장자는 .exe, .scr, .cpl, .com, 중에 하나다.<br>
<br>
Jol03 <br>
guupd02 <br>
siupd02 <br>
upd02 <br>
viupd02 <br>
wsd01 <br>
zupd02 <br>
<br>
<br><img src="http://www.everyzone.com/info/virus_db/images/W32_Bagle_3076.jpg" border="0">
<br>
<br>
(웜이 발송한 메일의 예)<br>
<br>
메일 제목:Delivery by mail <br>
<br>
본문 내용: Before use read the help<br>
<br>
첨부파일 이름: Jol03.cpl<br>
<br>
[특징] <br>
<br>
웜이 실행되면 다음과 같이 윈도우 시스템 폴더(win 2000, NT : c:\Wint\system32, win XP : c:\windows\system32)
에 sysformat.exe, sysformat.exeopen, sysformat.exeopenopen파일을 생성한다.<br>
<br>
또한, 다음처럼 레지스트를 수정하여 다음 부팅시 실행되도록 조작한다. <br>
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
항목에 <br>
(win9x의 경우) <br>
sysformat = c:\windows\system\sysformat.exe <br>
<br>
(win2000, NT의 경우) <br>
sysformat = c:\winnt\system32\sysformat.exe<br>
<br>
(WinXP의 경우) <br>
sysformat = c:\windows\system32\sysformat.exe<br>
를 기록한다. <br>
다음으로 .uin, .cgi, .mht, .dhtm, .jsp, .wab, .txt, .msg, .htm, .shtm, .stm, .xml, .dbx, .mbx, .mdx, .eml,
.nch, .mmf, .ods, .cfg, .asp, .php, .pl, .wsh, .adb, .tbb, .sht, .xls, .oft 확장자를 지닌 파일에서 메일 주소를 수집하여
자체 SMTP를 이용하여 웜이 첨부된 메일을 발송하지만 다음 도메인으로는
감염된 메일을 발송하지 않는다<br>
@avp. <br>
@foo <br>
@iana <br>
@messagelab <br>
@microsoft <br>
abuse <br>
admin <br>
anyone@ <br>
bsd <br>
bugs@ <br>
cafee <br>
certific <br>
contract@ <br>
f-secur <br>
feste <br>
free-av <br>
gold-certs@ <br>
google <br>
help@ <br>
icrosoft <br>
info@ <br>
kasp <br>
linux <br>
listserv <br>
local <br>
news <br>
nobody@ <br>
noone@ <br>
noreply <br>
ntivi <br>
panda <br>
pgp <br>
rating@ <br>
root@ <br>
samples <br>
sopho <br>
spam <br>
support <br>
unix <br>
update <br>
winrar <br>
winzip <br>
postmaster@<br>
<br>
shar단어가 들어간 폴더에 다음과 같은 웜의 복사본을 저장한다.<br>
<br>
1.exe <br>
2.exe <br>
3.exe <br>
4.exe <br>
5.scr <br>
6.exe <br>
7.exe <br>
8.exe <br>
9.exe <br>
10.exe <br>
Ahead Nero 7.exe <br>
Windown Longhorn Beta Leak.exe <br>
Opera 8 New!.exe <br>
XXX hardcore images.exe <br>
WinAmp 6 New!.exe <br>
WinAmp 5 Pro Keygen Crack Update.exe <br>
Adobe Photoshop 9 full.exe <br>
Matrix 3 Revolution English Subtitles.exe <br>
ACDSee 9.exe<br>
<br>
마지막으로 TCP/81 포트와 UDP/1027 포트를 열어두어 개인정보 유출의 위험성이 있으며 다음과 같은
보안관련 프로그램의 프로세스를 종료 시킨다.<br>
<br>
APVXDWIN.EXE<br>
ATUPDATER.EXE<br>
ATUPDATER.EXE<br>
AUPDATE.EXE<br>
AUTODOWN.EXE<br>
AUTOTRACE.EXE<br>
AUTOUPDATE.EXE<br>
AVENGINE.EXE<br>
AVPUPD.EXE<br>
AVWUPD32.EXE<br>
AVXQUAR.EXE<br>
AVXQUAR.EXE<br>
Avconsol.exe<br>
Avsynmgr.exe<br>
CFIAUDIT.EXE<br>
DRWEBUPW.EXE<br>
DefWatch.exe<br>
ESCANH95.EXE<br>
ESCANHNT.EXE<br>
FIREWALL.EXE<br>
FrameworkService.exe<br>
ICSSUPPNT.EXE<br>
ICSUPP95.EXE<br>
LUALL.EXE<br>
LUCOMS~1.EXE<br>
MCUPDATE.EXE<br>
NISUM.EXE<br>
NPROTECT.EXE<br>
NPROTECT.EXE<br>
NUPGRADE.EXE<br>
NUPGRADE.EXE<br>
OUTPOST.EXE<br>
PavFires.exe<br>
Rtvscan.exe<br>
RuLaunch.exe<br>
SAVScan.exe<br>
SHSTAT.EXE<br>
SNDSrvc.exe<br>
UPDATE.EXE<br>
UpdaterUI.exe<br>
VsStat.exe<br>
VsTskMgr.exe<br>
Vshwin32.exe<br>
alogserv.exe<br>
bawindo.exe<br>
blackd.exe<br>
ccApp.exe<br>
ccEvtMgr.exe<br>
ccProxy.exe<br>
ccPxySvc.exe<br>
mcagent.exe <br>
mcshield.exe <br>
mcvsescn.exe<br>
mcvsrte.exe<br>
mcvsshld.exe <br>
navapsvc.exe<br>
navapsvc.exe<br>
navapsvc.exe<br>
navapw32.exe<br>
nopdb.exe<br>
pavProxy.exe<br>
pavsrv50.exe<br>
symlcsvc.exe<br>
- ※ 예방 및 수동 조치 방법
-
- 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
- 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요
