이름

Worm-W32/AgoBot

바이러스 종류

Worm

실행환경

Win NT/2000/XP

증상요약

null

위험등급

null

확산방법

null

치료방법

백신으로 치료했다고 해서 치료가 완전히 되는 것은 아니며, 반드시 윈도우즈 업데이트를 해서 보안패치를 해야만 한다. 방법은 [인터넷 익스플로러]->[도구]->[Windows Update] 를 이용하면 된다. 이외에도 윈도우즈 암호가 설정되어 있지 않다면 암호를 설정해야 다른 웜들의 공격을 받지 않는다. 또한, 공유폴더를 사용하는 경우에도 감염될 수 있으므로 불필요한 공유폴더는 해제하거나 쓰기권한 암호를 설정해 두도록 한다. 터보백신 제품군으로 치료가능하다. * 만약 60초후에 재부팅한다는 메시지가 뜬 경우라면 [시작]->[실행] 에서 "shutdown -a" 라고 입력하시면 재부팅을 막을 수 있다. (단, Windows XP 만 해당)  

※ 상세 설명

Worm-W32/AgoBot 은 Worm-W32/IRCBot, Backdoor-W32/SdBot 등과 같이 윈도우즈 운영체제의 보안 취약점이 있는 시스템을 대상으로 감염을 시킨다. 감염시 60초후 재부팅 한다는 메시지를 출력하기도 하며, 현재 네트워크 상으로 수많은 변종들이 돌아다니고 있으며, 보안패치를 하지 않은 취약한 윈도우즈 운영체제 시스템을 감염시키고, 공격한다. 그러므로 윈도우즈 업데이트와 암호를 설정하지 않으면 백신으로 웜을 치료해도 지속적으로 유입되어 재발한다. 백신치료도 중요하지만 무엇보다도 보안 업데이트가 중요하다. 특정 백신 프로그램이나 보안 프로그램등의 프로세스를 강제 종료하기도 한다. 일부는 IRC(Internet Relay Chat: TCP 6667 포트) 서버에 연결하여, IRC 클라이언트로서 작동하며, IRC 를 통해서 웜을 퍼트리기도 한다. (이 때문에 과도한 트래픽 발생으로 인하여 네트워크에 부하가 걸려 주위 네트워크상의 PC 들도 네트워크 작업이 동작하지 않을 수 있다.) 인터넷 링크 페이지가 열리지 않거나 복사하기, 붙여넣기가 잘 되지 않는 경우도 이 웜의 증상으로 보고되고 있다. 관리목적으로 윈도우즈가 설정한 IPC$ 혹은 Admin$, C$, D$, E$, Print$ 로 접근하여 암호가 취약할 경우 감염을 시키므로 반드시 암호를 설정해 두어야만 한다. 또한 다음과 같이 레지스트리에 기록하여 부팅시 실행 되도록 조작한다. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\RunServices 등에 기록하며, 키값은 변종에 따라서 다르다.

※ 예방 및 수동 조치 방법

• 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
• 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요