이름

W32/Balge.21696@mm

바이러스 종류

Worm

실행환경

Windows

증상요약

레지스트리 변경, 메일발송, 프로세스 종료, 특정서버 접속, 파일 생성

위험등급

보통

확산방법

네트워크 공유폴더, 이메일

치료방법

<span class="style4">터보백신 제품군으로 진단/치료 가능합니다.</span><br> <br>  

※ 상세 설명

이 웜은 이메일을 통하여 전파되며, 감염된 메일발송 특정 서버로의 연결을 시도 한다. [메일 제목] 다음 중에서 선택된다. Changes.. Encrypted document Fax Message Forum notify Incoming message Notification Pass - {Random characters} Password - {Random characters} Password: {Random characters} Protected message RE: Incoming Msg RE: Message Notify RE: Protected message RE: Text message Re: Re: Document Re: Hello Re: Hi Re: Incoming Message Re: Msg reply Re: Thank you! Re: Thanks :) Re: Yahoo! Site changes Update [메일 내용] Archive password: 이미지 Attach tells everything. Attached file is protected with the password for security reasons. Password is 이미지 Attached file tells everything. Check attached file for details. Check attached file. For security purposes the attached file is password protected. Password -- 이미지 For security reasons attached file is password protected. The password is 이미지 Here is the file. In order to read the attach you have to use the following password: 이미지 Message is in attach More info is in attach Note: Use password 이미지 to open archive. Password - 이미지 Password: 이미지 Pay attention at the attach. Please, have a look at the attached file. Please, read the document. Read the attach. See attach. See the attached file for details. Try this. Your document is attached. Your file is attached. [첨부파일] 파일 이름 은 다음 리스트에서 선택 된다. Details Document Info Information Message MoreInfo Readme Sources text_document Updates 확장자는 다음 두가지중에서 선택 된다. EXE ZIP [특징] 웜이 실행되면 다음과 같이 윈도우 시스템 폴더(win 2000, NT : c:\Wint\system32, win XP : c:\windows\system32) 에 Winhost.exe(21,969 Byte) 파일을 생성한다. 또한, 다음처럼 레지스트를 수정하여 다음 부팅시 실행되도록 조작한다. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 항목에 (windows 9x) "winhost.exe" = "c:\windows\system\Winhost.exe" (windows xp) "winhost.exe" = "c:\windows\system32\Winhost.exe" (windows 2000, NT) "winhost.exe" = "c:\winnt\system32\Winhost.exe" 을 생성한다. 그리고 다음처럼 레지스트리 키를 생성한다. HKEY_CURRENT_USER\Software\Timeout Uid = "랜덤값" Port = "dword:00002346" Pid = "랜덤값" 이메일 주소는 다음 확장자를 가진 파일에서 추출 한다. adb asp cfg cgi dbx dhtm eml htm html jsp mbx mdx mht mmf msg nch ods oft php pl sht shtm stm tbb txt uin wab wsh xls xml 다음 문자열을 포함한 메일주소로는 감염된 메일을 보내지 않는다. @avp. @foo @iana @messagelab @microsoft @msn abuse admin anyone@ bsd bugs@ cafee certific contract@ f-secur feste free-av gold-certs@ google help@ icrosoft info@ kasp linux listserv local news nobody@ noone@ noreply norton ntivi panda pgp postmaster@ rating@ root@ samples sopho spam support unix update virus winrar winzip 네트웍 공유 폴더를 통해 전파될 때는 공유 폴더에 다음과 같은 이름의 웜 파일을 생성한다. 특히 "공백" 을 가진 파일은 실제로 txt, doc 등의 문서 파일로 보이나 실행 파일을 위장 하고 있다. Ahead Nero 7.exe hardcore arhive.exe important.exe important update.exe install.exe Kaspersky Antivirus5.0 message.msg공백.exe Microsoft Office 2003 Crack, Working!.exe Microsoft Office XP workingCrack, Keygen.exe Microsoft Windows XP, WinXP Crack, working Keygen.exe New document.doc공백.exe New patch.exe patch.exe Porno, sex, oral, anal cool, awesome!!.exe Porno pics arhive, xxx.exe Porno Screensaver.scr Serials.txt공백.exe setup.exe text.txt공백.exe update.exe WinAmp 6 New!.exe Windown Longhorn Beta Leak.exe Windows Sourcecode update.doc XXX hardcore images.exe 일부 안티 바이러스 계열의 프로세스를 확인하여 프로그램을 종료 시킨다.

※ 예방 및 수동 조치 방법

• 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
• 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요