이름

W32/Balge.35761@mm

바이러스 종류

Worm

실행환경

Windows

증상요약

레지스트리 변경, 메일발송, 파일 생성

위험등급

낮음

확산방법

이메일

치료방법

<span class="style4">터보백신 제품군으로 진단/치료 가능합니다.</span><br> <br>  

※ 상세 설명

이 웜은 이메일을 통하여 전파되며, 감염된 메일이나 파일을 특정 서버로부터 받을수 있다. [메일 제목] 공백 [메일 내용] 공백 price new price Password: The password is [첨부파일] 파일 이름 은 다음 리스트에서 선택 된다. 09_price.zip new__price.zip new_price.zip Newprice.zip price_09.zip price_new.zip price.zip price2.zip [특징] 웜이 실행되면 다음과 같이 윈도우 시스템 폴더(win 2000, NT : c:\Wint\system32, win XP : c:\windows\system32) 에 windll2.exe(35,761 Byte) 파일을 생성한다. 또한, 다음처럼 레지스트를 수정하여 다음 부팅시 실행되도록 조작한다. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n 항목에 (windows 9x) erthegdr = "c:\windows\system\windll2.exe" (windows xp) erthegdr = "c:\windows\system32\windll2.exe" (windows 2000, NT) erthegdr = "c:\winnt\system32\windll2.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n (windows 9x) erthegdr = "c:\windows\system\windll2.exe" (windows xp) erthegdr = "c:\windows\system32\windll2.exe" (windows 2000, NT) erthegdr = "c:\winnt\system32\windll2.exe" HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Ru1n (windows 9x) erthegdr = "c:\windows\system\windll2.exe" (windows xp) erthegdr = "c:\windows\system32\windll2.exe" (windows 2000, NT) erthegdr = "c:\winnt\system32\windll2.exe" 을 생성한다. 그리고 위의 레지스트리 키에 다음과 같은 값이 있으면 삭제 한다. 9XHtProtect Antivirus EasyAV FirewallSvr HtProtect ICQ Net ICQNet Jammer2nd KasperskyAVEng MsInfo My AV NetDy Norton Antivirus AV PandaAVEngine SkynetsRevenge Special Firewall Service SysMonXP Tiny AV Zone Labs Client Ex service 하지만 시스템 날짜가 2009 년 10월 23일 이후라면 레지스트리 키를 삭제하고 자신을 종료 한다. 이 웜은 자체 SMTP 엔진을 이용하며, 감염된 시스템에서 메일주소를 수집하지 않지만, 다음 URL 에서 메일 주소를 내려 받는다. clickhare.com amerikansk-bulldog.dk eventpeopleforyou.com fyeye.com ligapichangueras.cl ekshrine.com directeenhuis.nl creacionesartisticasandaluzas.com 그리고 다음 싸이트에서 eml.exe 파일을 내려 받는다. http://xxxrikansk-bulldog.dk/images/web.php http://xxxckhare.com/images/web.php http://xxxacionesartisticasandaluzas.com/bovedas/web.php http://xxxecteenhuis.nl/images/web.php http:///xxxhrine.com/images/web.php http://xxxntpeopleforyou.com/help/web.php http://xxxye.com/lyra/web.php http://xxxapichangueras.cl/images/web.php http://xxxalhost/script2.php http://xxxalhost/script3.php http://xxxalhost/sss.php (일부싸이트명은 xxx 처리) 다음 문자열을 포함한 메일주소로는 감염된 메일을 보내지 않는다. @avp. @derewrdgrs @eerswqe @iana @messagelab @microsoft abuse admin anyone@ bugs@ cafee certific contract@ f-secur feste free-av gold-certs@ google help@ icrosoft info@ linux listserv local nobody@ noone@ noreply ntivi panda postmaster@ rating@ root@ samples sopho support update 그리고 다음과 같은 Mutexe 를 생성한다. MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D ''D''r''o''p''p''e''d''S''k''y''N''e''t'' _-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_ [SkyNet.cz]SystemsMutex AdmSkynetJklS003 ____--->>>>U<<<<--____ _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_ TCP 80 포트를 열어 놓아 파일 업로드등의 기능을 수행할 수 있다.

※ 예방 및 수동 조치 방법

• 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
• 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요