이름

Worm-W32/Opasoft.24064.B

바이러스 종류

Worm

실행환경

Win9x, Win2000, NT

증상요약

null

위험등급

null

확산방법

null

치료방법

터보백신 Ai, 터보백신 2001 또는 터보백신 Online으로 치료가능합니다.  

※ 상세 설명

upx로 압축되 있으며 압축을 해제하였을 경우 크기는 62,435 byte다. 쓰기 공유로 설정되 있는 폴더나 드라이브등 네트워크를 통해 감염이 되며 감염되는 컴퓨터의 IP는 웜에 의해서 결정된 범위에서 대상을 선택 한다. 감염대상이 확인되면 port 135번 을 이용하여 원격 컴퓨터에 접속을 시도한다. 이 과정은 지속적으로 이루어지기 때문에 네트웍을 통한 작업시 시스템 성능이 저하되는 현상이 발생 할 수 있다. 웜이 실행되면 C:\ 에 speedy.scr을 생성한다. 그리고 윈도우 폴더(Win9x, xp c:\windows, Win2000 : c:\Winnt)에 podre!!, banda!, vacas!, vagabu! 파일을 생성한다. 다음으로 Win.ini의 run 항목을 다음과 같이 수정하여 다음 부팅시 웜을 실행 하도록 한다. run=run=C:\WINDOWS\SPEEDY.PIf,c:\windows\speedy.pif, c:\windows\speedy.scr, c:\windows\speedy.bat, c:\windows\podre!!.com 또한 레지스트리 항목에 다음의 값을 추가하여 부팅시 웜을 실행 하도록 한다. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\run 항목에 win9x, xp의 경우 Spees1 = C:\WINDOWS\speedy.scr Spees2 = C:\WINDOWS\speedy.bat Spees3 = C:\WINDOWS\speedy.pif Win 2000의 경우 Spees1 = C:\Winnt\speedy.scr Spees2 = C:\Winnt\speedy.bat Spees3 = C:\Winnt\speedy.pif 다음과 같은 문자열이 하드코딩되 있으며 도스 프롬프트상태에서 확인 할 수 있다. Melhorem o servico Speed seus FDPS!! Telefonica ganhe menos e faca mais!! Queremos melhores servicos da SPEEDY

※ 예방 및 수동 조치 방법

1. Win.ini의 run 항목을 삭제 한다. 2. [시작]->[실행]에서 "regedit"를 실행 시킨다음 아래의 값을 삭제 한다. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\run 항목의 win9x, xp의 경우 Spees1 = C:\WINDOWS\speedy.scr Spees2 = C:\WINDOWS\speedy.bat Spees3 = C:\WINDOWS\speedy.pif Win 2000의 경우 Spees1 = C:\Winnt\speedy.scr Spees2 = C:\Winnt\speedy.bat Spees3 = C:\Winnt\speedy.pif (Spees(번호)로 시작된 값은 모두 삭제) 3. 시스템을 재부팅 후 아래의 파일을 삭제 한다. c:\speedy.scr 파일 삭제 Win9x, xp인 경우 : C:\WINDOWS\speedy.scr, speedy.pif, speedy.bat 파일이 발견되면 삭제한다. 또한 podre!!, banda!, vacas!, vagabu!파일도 삭제 WinNT 인 경우 : C:\Winnt\speedy.scr, speedy.pif, speedy.bat 파일이 발견되면 삭제한다. 또한 podre!!, banda!, vacas!, vagabu!파일 삭제

• 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
• 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요