- 바이러스 정보
- 터보백신에서 분석한 바이러스 위협 정보, 보안 통계를 확인할 수 있습니다.
- 이름
- W32/Bube
- 바이러스 종류
- Window File Virus
- 실행환경
- Windows
- 증상요약
- 특정싸이트에 접속하여 Trojan을 다운로드 받는다.
- 위험등급
- 낮음
- 확산방법
- 익스플로러
- 치료방법
- <span class="style4">터보백신 제품군으로 진단/치료 가능합니다.</span><br>
<br>
- ※ 상세 설명
- 윈도우즈 폴더의 explorer.exe 파일에만 감염되며, 감염된 파일크기는 약 4,900 Byte 늘어난다. 감염대상인 explorer.exe 파일이 존재 하는 다음 폴더를 감염 대상으로 한다. * windows 98, me, xp c:\windows, c:\windows\servicepackFiles\i386, c:\windows\dllcache * windows 2000 c:\winnt, c:\winnt\servicepackFiles\i386, c:\winnt\dllcache 그리고 WININIT.INI 를 다음 처럼 변경하여 explorer.exe 를 감염시킨다. [rename] c:\windows\explorer.exe=c:\windows\explorer.new 아래와 같이 레지스트리를 변경한다. HKEY_CURRENT_USER\Software\Microsoft\Security Center AntiVirusDisableNotify = “dword:00000001” FirewallDisableNotify = “dword:00000001” UpdatesDisableNotify = “dword:00000001” HKEY_CURRENT_USER\Software\Microsoft\ Internet Explorer\Main SelfLimit = dword:00000001 HKEY_CURRENT_USER\Software\Microsoft\ Windows NT\CurrentVersion\SystemRestore DisableSR = “dword:00000001” HKEY_CURRENT_USER\Software\Policies\Microsoft\ Windows\WindowsUpdate\AU AUOptions = “dword:00000001” NoAutoUpdate = “dword:00000001” HKEY_LOCAL_MACHINE\Software\Microsoft\ Security Center AntiVirusDisableNotify = “dword:00000001” FirewallDisableNotify = “dword:00000001” UpdatesDisableNotify = “dword:00000001” HKEY_LOCAL_MACHINE\Software\Microsoft\ Internet Explorer\Main SelfLimit = dword:00000001 HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows NT\CurrentVersion\SystemRestore DisableSR = “dword:00000001” HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\ Windows\WindowsUpdate\AU AUOptions = “dword:00000001” NoAutoUpdate = “dword:00000001” HKEY_CURRENT_USER\Software\Policies\Microsoft\ WindowsFirewall\DomainProfile EnableFirewall = “dword:00000001” HKEY_CURRENT_USER\Software\Policies\Microsoft\ WindowsFirewall\StandardProfile EnableFirewall = “dword:00000001” HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\ WindowsFirewall\DomainProfile EnableFirewall = “dword:00000001” HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\ WindowsFirewall\StandardProfile EnableFirewall = “dword:00000001” 마지막으로 http://advXXXin.biz/tasks 에 접속을 시도하며 성공했을 경우 바탕화면에 tasks 파일이 생긴다.
- ※ 예방 및 수동 조치 방법
- 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
- 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요