- 바이러스 정보
- 터보백신에서 분석한 바이러스 위협 정보, 보안 통계를 확인할 수 있습니다.
- 이름
- W32/Klez.E@mm
- 바이러스 종류
- Worm
- 실행환경
- Windows
- 증상요약
- null
- 위험등급
- null
- 확산방법
- null
- 치료방법
- 터보백신Ai, 터보백신 Online, 터보백신 2001 제품군으로 치료가능. <br>
<br>
터보백신 Ai를 사용하시고 아웃룩을 사용하신 다면 반드시 이메일 감시기를 실행하시기 바랍니다.<br>
<br>
치료후 반드시 보안패치를 하시기 바랍니다.<br>
단, 현재 인터넷 익스플로러 버전이 6.0 이상이라면 아래의 보안패치를 받으실 필요가 없습니다.<br>
1. 아웃룩 익스프레스 <br><br>
<a href="http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp"><font
color="blue">http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp</font></a><br><br>
2. 아웃룩 2000 <br><br>
<a href="http://office.microsoft.com/korea/downloads/2000/outlctlx.aspx"><font
color="blue">http://office.microsoft.com/korea/downloads/2000/outlctlx.aspx</font></a><br><br>
3. 아웃룩 2002 (오피스 XP)<br><br>
<a href="http://office.microsoft.com/korea/downloads/2002/OLK1003.aspx"><font
color="blue">http://office.microsoft.com/korea/downloads/2002/OLK1003.aspx</font></a><br><br>
- ※ 상세 설명
- [증상]
이 웜은1월 18일 부터 전파되기 시작 하였으며 메일및 네트워크로 전파된다.
이메일로 전파시에는 보안패이가 안된 시스템에서 메일을 읽는 것만으로도 감염작용을 일으킨다.
웜을 포함한 이메일은 아래와 같은 내용을 가지고 있다.
[메일 제목]
a nice game
a good game
a good tool
a nice tool
a exite website
a good website
a nice website
a WinXP tool
W32.Klez removal tools
congratulations
darling
don''t drink too much
eager to see you
honey
how are you
introduction on ADSL
japanese girl VS playboy
japanese lass'' sexy pictures
let''s be friends
look,my beautiful girl friend
meeting notice
please try again
questionnaire
some questions
sos!
spice girls'' vocal concert
the Garden of Eden
welcome to my hometown
your password
[메일 내용]
내용 없음
[첨부파일]
파일명은 랜덤하며 확장자는 다음과 같다.
.PIF
.SCR
.EXE
.BAT
[특징]
웜이 실행 되면 다음과 같이 윈도우 시스템 폴더에 (win 2000, NT : c:\Wint\system32, win XP : c:\windows\system32)에
Wink(랜덤한 문자).exe 파일이 생성된다.
또 시스템 루트 (c:\)에 scr확장자와 rar 확장자를 가진 파일이 생성하는데 rar 압축 파일안에는 다음과 같은 파일명랜덤하게
선택되어 압축되 있다.
setup, install, demo, snoopy, picacu, kitty, play, rock
또한, 다음처럼 레지스트를 수정하여 다음 부팅시 실행되도록 조작한다.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 항목에
(win2000, NT의 경우)
Wink(랜덤한문자) = c:\winnt\system32\Wink(랜덤한문자).EXE
(WinXP의 경우)
Wink(랜덤한문자) = c:\windows\system32\Wink(랜덤한문자).EXE
3월,5월,9월,11월 6일이 되면 시스템과 네트웍 드라이브에 연결된 다음과 같은 확장자를 가진 파일을
파괴한다.
.txt,
.htm,
.html,
.wab,
.doc,
.xls,
.jpg
.cpp,
.c,
.pas,
.mpg,
.mpeg,
.bak
.mp3
감염된 후 재 부팅시 블루스크린이 나타나기도 하며 부팅이 안될 수도 있다.
마지막으로 다음과 같은 보안관련 프로세스를 종료 시킨다.
_AVP32, _AVPCC, NOD32,
NPSSVC, NRESQ32, NSCHED32,
NSCHEDNT, NSPLUGIN, NAV,
NAVAPSVC, NAVAPW32, NAVLU32,
NAVRUNR, NAVW32, _AVPM,
ALERTSVC, AMON, AVP32,
AVPCC, AVPM, N32SCANW,
NAVWNT, ANTIVIR, AVPUPD,
AVGCTRL, AVWIN95, SCAN32,
VSHWIN32, F-STOPW, F-PROT95,
ACKWIN32, VETTRAY, VET95,
SWEEP95, PCCWIN98 IOMON98,
AVPTC, AVE32, AVCONSOL,
FP-WIN, DVP95, F-AGNT95,
CLAW95, NVC95,
SCAN, VIRUS, LOCKDOWN2000, Norton, Mcafee
- ※ 예방 및 수동 조치 방법
-
- 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
- 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요
