바이러스 DB

매일 다수의 업데이트를 실시하고 있으며 긴급 악성코드 발생 시 신속하게 추가 업데이트를 실시하고 있습니다.

이름
Worm-W32/Elomon
바이러스 종류
Worm
실행환경
Windows
위험등급
확산방법
증상요약
치료방법
터보백신Ai, 터보백신 Online, 터보백신 2001 제품군으로 치료가능.

치료 후 [시작]->Windows Update 메뉴를 이용하여

윈도우 운영체제 자체의 보안패치를 해 주시기 바랍니다.

해당 패치에 대한 설명은 다음 바이러스칼럼을 확인해 주시기 바랍니다.

http://www.everyzone.com/service/info/content.asp?part=tbl_viruscolumn&id=20&GotoPage=1&block=&number=

보다 자세한 설명은 다음 링크를 확인해 주십시요.

http://www.everyzone.com/service/bbs/faq/content.asp?part=everyzone_faq&menu=0&id=22&GotoPage=3&block=0&number=
상세설명  진단/치료방법
※ 상세 설명
이 웜은 메신저를 통하여 전파되며, 메신저 상에서 jpg(사진 포맷)를 위장한 형태이며 HTML 파일이 포함되어 url링크 형식으로 전파된다.

url 형식은 다음과 같다.

http://www.x*2s.com/m*n/w**e.jpg

(* 임의 삭제)
  
[특징]

jpg 링크를 클릭 하게 되면 여자 사진이 인터넷 익스플로러 상에서 출력되고 news.htm
파일이 실행 된다.

news.htm 파일은 Test.chm 파일을 다운로드 하여 실행 하는데

test.exe 파일이 윈도우의 시스템 폴더(win 2000, NT : c:\Winnt\system32, win XP : c:\windows\system32, win 95/98/me : c:\windows\system)에
syslray.exe(94,726 byte), hkt1.dll(45,568 byte) moniker.exe(48,644 byte) 파일을 다운로드 한다.

또한 c:\ 폴더에 syshttp1.sys, syshttp2.sys 파일을 생성 한다.

그리고 다음처럼 레지스트를 수정하여 다음 부팅시 실행되도록 조작한다.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
항목에

(win9x의 경우)
realone_nt2003 = C:\WINDOWS\system\moniker.exe  
realone_nt2004 = C:\WINDOWS\system\syslray.exe

(win2000, NT의 경우)
realone_nt2003 = C:\WINNT\system32\moniker.exe  
realone_nt2004 = C:\WINNT\system32\syslray.exe


(WinXP의 경우)
realone_nt2003 = C:\WINDOWS\system32\moniker.exe  
realone_nt2004 = C:\WINDOWS\system32\syslray.exe
※ 예방 및 수동 조치 방법
  • 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
  • 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요
상호 :(주)에브리존 터보백신 | 대표:홍승균|사업자등록번호:220-81-67981
Copyright ⓒEveryzone , Inc. All Rights Reserved.|