이름

Trojan-W32/Bagle.9216.H

바이러스 종류

Worm

실행환경

Windows

증상요약

특정 백신및 방화벽의 프로세스를 강제 종료 시킴, 특정 싸이트에서 Trojan 다운로드

위험등급

보통

확산방법

네크워크

치료방법

<span class="style4">터보백신 제품군으로 진단/치료 가능합니다.</span><br> <br>  

※ 상세 설명

웜이 실행되면 다음과 같이 윈도우 시스템 폴더(win 2000, NT : c:\Wint\system32, win XP : c:\windows\system32) 에 wiwshost.exe 파일을 생성한다. 또한, 다음처럼 레지스트를 수정하여 다음 부팅시 실행되도록 조작한다. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 항목에 (win9x의 경우) wiwshost.exe = c:\windows\system\wiwshost.exe (win2000, NT의 경우) wiwshost.exe = c:\winnt\system32\wiwshost.exe (WinXP의 경우) wiwshost.exe = c:\windows\system32\wiwshost.exe HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 항목에 (win9x의 경우) wiwshost.exe = c:\windows\system\wiwshost.exe (win2000, NT의 경우) wiwshost.exe = c:\winnt\system32\wiwshost.exe (WinXP의 경우) wiwshost.exe = c:\windows\system32\wiwshost.exe 를 기록한다. 또한 W32/Bagle.37888@mm 와 동일 하게 다음과 같은 파일이 실행되면 강제 종료 시키게 된다. ATUPDATER.EXE ATUPDATER.EXE AUPDATE.EXE AUTODOWN.EXE AUTOTRACE.EXE AUTOUPDATE.EXE AVPUPD.EXE AVWUPD32.EXE AVXQUAR.EXE AVXQUAR.EXE CFIAUDIT.EXE DRWEBUPW.EXE ESCANH95.EXE ESCANHNT.EXE FIREWALL.EXE ICSSUPPNT.EXE ICSUPP95.EXE LUALL.EXE MCUPDATE.EXE NUPGRADE.EXE NUPGRADE.EXE OUTPOST.EXE UPDATE.EXE UPGRADER.EXE 그리고 V3 의 백신 업데이트 방해 하거나 일부 안티 바이러스 프로그램과 보안 프로그램의 관련 설정을 변경 하기도 한다. NAV1APSVC.EXE NAVAPSVC.EXE KAV.exe kav12mm.exe kavmm.exe zonealarm.exe c:\windows 또는 c:\winnt 폴더에 파일을 특정 싸이트로부터 다운로드 받기도 하지만 확인되지는 않았다.

※ 예방 및 수동 조치 방법

• 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
• 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요