2024 정부지원사업 랜섬웨어 대응/예방 정부 지원 사업 - 도입 기회를 놓치지 마세요!!자세히 보기
  • 바이러스 정보
  • 터보백신에서 분석한 바이러스 위협 정보, 보안 통계를 확인할 수 있습니다.
터보백신 소개
백신 패턴 업데이트
바이러스 통계
바이러스 DB
악성코드 DB
이름
W32/Balge.9649@mm
바이러스 종류
Worm
실행환경
Windows
증상요약
레지스트리 변경, 메일발송, 파일 생성
위험등급
보통
확산방법
이메일
치료방법
<span class="style4">터보백신 제품군으로 진단/치료 가능합니다.</span><br> <br> 상세설명  진단/치료방법
※ 상세 설명
이 웜은 W32/Balge.35761@mm 의 변종으로 자체 SMTP를 이용해 이메일을 통하여 전파되며, 감염된 메일이나 파일을 특정 서버로부터 받을수 있다.<br> <br> [메일 제목] <br> <br> 다음 리스트에서 선택 된다.<br> <br> Ales<br> Alice <br> Alyce <br> Andrew <br> Androw <br> Androwe <br> Ann <br> Anna <br> Anne <br> Annes <br> Anthonie <br> Anthony <br> Anthonye <br> Avice <br> Avis <br> Bennet <br> Bennett <br> Christean <br> Christian <br> Constance <br> Cybil <br> Daniel <br> Danyell <br> Dorithie <br> Dorothee <br> Dorothy <br> Edmond <br> Edmonde <br> Edmund <br> Edward <br> Edwarde <br> Elizabeth <br> Elizabethe <br> Ellen <br> Ellyn <br> Emanual <br> Emanuel <br> Emanuell <br> Ester <br> Frances <br> Francis <br> Fraunces <br> Gabriell <br> Geoffraie <br> George <br> Grace <br> Harry <br> Harrye <br> Henrie <br> Henry <br> Henrye <br> Hughe <br> Humphrey <br> Humphrie <br> Isabel <br> Isabell <br> James <br> Jane <br> Jeames <br> Jeffrey <br> Jeffrye <br> Joane <br> Johen <br> John <br> Josias <br> Judeth <br> Judith <br> Judithe <br> Katherine <br> Katheryne <br> Leonard <br> Leonarde <br> Margaret <br> Margarett <br> Margerie <br> Margerye <br> Margret <br> Margrett <br> Marie <br> Martha <br> Mary <br> Marye <br> Michael <br> Mychaell <br> Nathaniel <br> Nathaniell <br> Nathanyell <br> Nicholas <br> Nicholaus <br> Nycholas <br> Peter <br> Ralph <br> Rebecka <br> Richard <br> Richarde <br> Robert <br> Roberte <br> Roger <br> Rose <br> Rycharde <br> Samuell <br> Sara <br> Sidney <br> Sindony <br> Stephen <br> Susan <br> Susanna <br> Suzanna <br> Sybell <br> Sybyll <br> Syndony <br> Thomas <br> Valentyne <br> William <br> Winifred <br> Wynefrede <br> Wynefreed <br> Wynnefreede<br> <br> [메일 내용] <br> <br> 다음 리스트에서 선택 된다.<br> <br> Happy New Year <br> New Year''s <br> New Year''s Day<br> New 2006<br> We congratulate happy New Year <br> <br> [첨부파일]<br> <br> 파일 이름 은 다음 리스트에서 선택 된다. <br> Ales.zip <br> Alice.zip <br> Alyce.zip <br> Andrew.zip <br> Androw.zip <br> Androwe.zip <br> Ann.zip <br> Anna.zip <br> Anne.zip <br> Annes.zip <br> Anthonie.zip <br> Anthony.zip <br> Anthonye.zip <br> Avice.zip <br> Avis.zip <br> Bennet.zip <br> Bennett.zip <br> Christean.zip <br> Christian.zip <br> Constance.zip <br> Cybil.zip <br> Daniel.zip <br> Danyell.zip <br> Dorithie.zip <br> Dorothee.zip <br> Dorothy.zip <br> Edmond.zip <br> Edmonde.zip <br> Edmund.zip <br> Edward.zip <br> Edwarde.zip <br> Elizabeth.zip <br> Elizabethe.zip <br> Ellen.zip <br> Ellyn.zip <br> Emanual.zip <br> Emanuel.zip <br> Emanuell.zip <br> Ester.zip <br> Frances.zip <br> Francis.zip <br> Fraunces.zip <br> Gabriell.zip <br> Geoffraie.zip <br> George.zip <br> Grace.zip <br> Harry.zip <br> Harrye.zip <br> Henrie.zip <br> Henry.zip <br> Henrye.zip <br> Hughe.zip <br> Humphrey.zip <br> Humphrie.zip <br> Isabel.zip <br> Isabell.zip <br> James.zip <br> Jane.zip <br> Jeames.zip <br> Jeffrey.zip <br> Jeffrye.zip <br> Joane.zip <br> Johen.zip <br> John.zip <br> Josias.zip <br> Judeth.zip <br> Judith.zip <br> Judithe.zip <br> Katherine.zip <br> Katheryne.zip <br> Leonard.zip <br> Leonarde.zip <br> Margaret.zip <br> Margarett.zip <br> Margerie.zip <br> Margerye.zip <br> Margret.zip <br> Margrett.zip <br> Marie.zip <br> Martha.zip <br> Mary.zip <br> Marye.zip <br> Michael.zip <br> Mychaell.zip <br> Nathaniel.zip <br> Nathaniell.zip <br> Nathanyell.zip <br> Nicholas.zip <br> Nicholaus.zip <br> Nycholas.zip <br> Peter.zip <br> Ralph.zip <br> Rebecka.zip <br> Richard.zip <br> Richarde.zip <br> Robert.zip <br> Roberte.zip <br> Roger.zip <br> Rose.zip <br> Rycharde.zip <br> Samuell.zip <br> Sara.zip <br> Sidney.zip <br> Sindony.zip <br> Stephen.zip <br> Susan.zip <br> Susanna.zip <br> Suzanna.zip <br> Sybell.zip <br> Sybyll.zip <br> Syndony.zip <br> Thomas.zip <br> Valentyne.zip <br> William.zip <br> Winifred.zip <br> Wynefrede.zip <br> Wynefreed.zip <br> Wynnefreede.zip<br> <br> [웜이 발송한 메일의 예]<br> <br> <br><img src="http://www.everyzone.com/info/virus_db/images/W32_Bagle_9649@mm.jpg" border="0"> <br> <br> [특징] <br> <br> 웜이 실행되면 다음과 같이 윈도우 시스템 폴더(win 2000, NT : c:\Wint\system32, win XP : c:\windows\system32) 에 windll2.exe(9,649 Byte) 파일을 생성한다.<br> <br> 또한, 다음처럼 레지스트를 수정하여 다음 부팅시 실행되도록 조작한다. <br> HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n 항목에 <br> (windows 9x)<br> erfgddfk = "c:\windows\system\windll2.exe" <br> <br> (windows xp)<br> erfgddfk = "c:\windows\system32\windll2.exe" <br> <br> (windows 2000, NT)<br> erfgddfk = "c:\winnt\system32\windll2.exe" <br> <br> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n 항목에<br> <br> (windows 9x)<br> erfgddfk = "c:\windows\system\windll2.exe" <br> <br> (windows xp)<br> erfgddfk = "c:\windows\system32\windll2.exe" <br> <br> (windows 2000, NT)<br> erfgddfk = "c:\winnt\system32\windll2.exe" <br> <br> HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Ru1n 항목에<br> (windows 9x)<br> erfgddfk = "c:\windows\system\windll2.exe" <br> <br> (windows xp)<br> erfgddfk = "c:\windows\system32\windll2.exe" <br> <br> (windows 2000, NT)<br> erfgddfk = "c:\winnt\system32\windll2.exe" <br> 을 생성한다. <br> 그리고 위의 레지스트리 키에 다음과 같은 값이 있으면 삭제 한다. <br> 9XHtProtect<br> Antivirus<br> EasyAV<br> FirewallSvr<br> HtProtect<br> ICQ Net<br> ICQNet<br> Jammer2nd<br> KasperskyAVEng<br> MsInfo<br> My AV<br> NetDy<br> Norton Antivirus AV<br> PandaAVEngine<br> SkynetsRevenge<br> Special Firewall Service<br> SysMonXP<br> Tiny AV<br> Zone Labs Client Ex<br> service<br> <br> 그리고 특정 싸이트에서 eml.exe 파일을 윈도우즈 폴더에 내려 받는다. <br> 다음 문자열을 포함한 메일주소로는 감염된 메일을 보내지 않는다. <br> @avp. <br> @derewrdgrs <br> @eerswqe <br> @iana <br> @messagelab <br> @microsoft <br> abuse <br> admin <br> anyone@ <br> bugs@ <br> cafee <br> certific <br> contract@ <br> f-secur <br> feste <br> free-av <br> gold-certs@ <br> google <br> help@ <br> icrosoft <br> info@ <br> linux <br> listserv <br> local <br> nobody@ <br> noone@ <br> noreply <br> ntivi <br> panda <br> postmaster@ <br> rating@ <br> root@ <br> samples <br> sopho <br> support <br> update <br> 그리고 다음과 같은 Mutexe 를 생성한다.<br> <br> MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D <br> ''D''r''o''p''p''e''d''S''k''y''N''e''t'' <br> _-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_ <br> [SkyNet.cz]SystemsMutex <br> AdmSkynetJklS003 <br> ____--->>>>U<<<<--____ <br> _-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_<br> <br> TCP 80 포트를 열어 놓아 파일 업로드등의 기능을 수행할 수 있다.<br> <br>
※ 예방 및 수동 조치 방법
  • 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
  • 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요
이전글
Trojan-W32/LineageHack.33381
다음글
W32/Sober.55390@mm
목록