• 바이러스 정보
  • 터보백신에서 분석한 바이러스 위협 정보, 보안 통계를 확인할 수 있습니다.
터보백신 소개
백신 패턴 업데이트
바이러스 통계
바이러스 DB
악성코드 DB
이름
W32/Bagle.11264@mm
바이러스 종류
Worm
실행환경
Windows
증상요약
null
위험등급
null
확산방법
null
치료방법
터보백신Ai, 터보백신 Online, 터보백신 2001 제품군으로 치료가능. 터보백신 Ai를 사용하시고 아웃룩을 사용하신 다면 반드시 이메일 감시기를 실행하시기 바랍니다. 상세설명  진단/치료방법
※ 상세 설명
이 웜은 이메일을 통하여 2월 17일 부터 전파되었으며 국내에는 2월 17일 오후 8시 이후로 전파되기 시작한 것으로 추정된다. 웜을 포함한 이메일은 아래와 같은 본문 내용을 가지고 있다. <br> <br> [메일 내용] <br> Yours ID (임의의 문자열) <br> -- <br> Thank <br> <br> <br><img src="http://www.everyzone.com/info/virus_db/images/bagle_outlook.jpg" width=500 height=300border="0"> <br> </br> (웜이 발송한 메일의 예) <br> 1. 메일 제목 : ID ecg... thanks<br> 본문 내용<br> Yours ID trwp<br> --<br> Thank <br> 첨부파일 이름:jpiaor.exe<br> <br> 2. 메일 제목 : ID inrygb... thanks<br> 본문 내용<br> Yours ID xvpkeybpuf<br> --<br> Thank <br> 첨부파일 이름 : gfxr.exe<br> <br> 3. 메일 제목 : ID kks... thanks<br> 본문 내용<br> Yours ID fbolmfccs<br> -- Thank <br> 첨부파일 이름 : rcdalm.exe<br> <br> 4. 메일 제목 : ID obdidpdadqd... thanks<br> 본문 내용<br> Yours ID bcqgekwjl<br> --<br> Thank <br> 첨부파일 이름 : dvfbqpog.exe<br> <br> 5. 메일 제목 : ID qusbuy... thanks<br> 본문 내용<br> Yours ID dbuyscr<br> --<br> Thank <br> 첨부파일 이름 : gtuhptak.exe<br> <br> [특징]<br> 첨부파일은 (임의의 문자열).exe(크기 11,264 bytes) 이며, 녹음기 아이콘<br>을 하고 있다. <br> <br><img src="http://www.everyzone.com/info/virus_db/images/bagle_icon.jpg" border="0"> <br> </br> 처음 실행시에 다음과 같이 윈도우 시스템 폴더(win 2000, NT : c:\Wint\system32, win XP : c:\windows\system32) 에 있는녹음기 프로그램을 실행해서 마치 정상 프로그램 실행된 것 처럼 속인다. <br> <br> <br><img src="http://www.everyzone.com/info/virus_db/images/bagle_rec.jpg" border="0"> <br> </br> 그리고 같은 폴더에 au.exe 파일을 생성한다.<br> 또한, 다음처럼 레지스트를 수정하여 다음 부팅시 실행되도록 조작한다. <br> HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 항목에 <br> (win9x의 경우) au.exe = c:\windows\system\임의의문자열.exe <br> (win2000, NT의 경우) au.exe = c:\winnt\system32\임의의문자열.exe <br> (WinXP의 경우) au.exe = c:\windows\system32\임의의문자열.exe <br> 를 기록한다. <br> 다음으로 .HTM, .HTML,, .TXT, .WAB 확장자를 지닌 파일에서 메일 주소를 수집하여 웜이 첨부된 메일을 발송하지만 다음 도메인으로는 감염된 메일이 발송되지 않는다.<br> @hotmail.com <br> @msn.com <br> @microsoft <br> @avp<br> <br> 그리고 다음 싸이트로 스크립트 실행 신호를 보내는데 해당 페이지는 현재 삭제되 있다.<br> www.intern.games-ring.de/2.php <br> www.strato.de/1.php <br> www.strato.de/2.php <br> www.47df.de/wbboard/1.php <br> <br> 마지막으로 TCP 8866 포트를 열어두는데 해당 포트를 이용한 시스템 정보과 개인정보의 유출 위험이 있다. <br>
※ 예방 및 수동 조치 방법
  • 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
  • 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요
이전글
W32/Netsky.22016@mm
다음글
Worm-W32/Welchia.12800.B
목록