2024 정부지원사업 랜섬웨어 대응/예방 정부 지원 사업 -
도입 기회를 놓치지 마세요!!
자세히 보기
- 바이러스 정보
- 터보백신에서 분석한 바이러스 위협 정보, 보안 통계를 확인할 수 있습니다.
- 이름
- Worm-W32/IRCBot.103832
- 바이러스 종류
- Worm
- 실행환경
- Windows
- 증상요약
- null
- 위험등급
- null
- 확산방법
- null
- 치료방법
- 터보백신Ai, 터보백신 Online, 터보백신 2001 제품군으로 치료가능. <br>
<br>
치료 후 [시작]->Windows Update 메뉴를 이용하여<br>
<br>
윈도우 운영체제 자체의 보안패치를 해 주시기 바랍니다.<br>
<br>
*Lsass Vulnerability MS04-011<br>
--> http://www.microsoft.com/korea/technet/security/bulletin/MS04-011.asp
*RPC DCOM2 Vulnerability MS03-039<br>
--> <a href="http://www.microsoft.com/korea/technet/security/bulletin/MS03-039.asp"><font
color="blue">http://www.microsoft.com/korea/technet/security/bulletin/MS03-039.asp</font></a><br><br>
*RPC DCOM Vulnerability MS03-026<br>
--> <a href="http://www.microsoft.com/korea/technet/security/bulletin/MS03-026.asp"><font
color="blue">http://www.microsoft.com/korea/technet/security/bulletin/MS03-026.asp</font></a><br><br>
*RPC Locator Vulnerability MS03-001<br>
--> <a href="http://www.microsoft.com/korea/technet/security/bulletin/MS03-001.asp"><font
color="blue">http://www.microsoft.com/korea/technet/security/bulletin/MS03-001.asp</font></a><br><br>
*UPnP (Universal Plug and Play) Vulnerability MS01-054<br>
--> <a href="http://www.microsoft.com/korea/technet/security/bulletin/MS01-054.asp"><font
color="blue">http://www.microsoft.com/korea/technet/security/bulletin/MS01-054.asp</font></a><br><br>
<br>
간편한 패치에 대한 설명은 다음 바이러스칼럼을 확인해 주시기 바랍니다.<br>
<a href="http://www.everyzone.com/service/info/content.asp?part=tbl_viruscolumn&id=20&GotoPage=1&block=&number="><font
color="blue">http://www.everyzone.com/service/info/content.asp?part=tbl_viruscolumn&id=20&GotoPage=1&block=&number=</font></a><br><br>
보다 자세한 설명은 다음 링크를 확인해 주십시요.<br>
<a href="http://www.everyzone.com/service/bbs/faq/content.asp?part=everyzone_faq&menu=0&id=22&GotoPage=3&block=0&number="><font
color="blue">http://www.everyzone.com/service/bbs/faq/content.asp?part=everyzone_faq&menu=0&id=22&GotoPage=3&block=0&number=</font></a><br><br>
- ※ 상세 설명
- 비주얼 C++로 작성된 이 웜은 윈도우 보안 보안취약점과 윈도우 공유 폴더, 그리고 암호가 설정되지 않은 NT 커널 윈도우를 통해 전파된다.
특징으로는 해외 유명한 보안업체 싸이트와 업데이트 싸이트의 접속을 방해 하며, 백신 소프트웨어의
프로세스를 강제로 종료 하는 기능을 탑재하고 있다.
[특징]
실행시 특정 IRC 서버로 연결되게 되는데 이때 윈도우 CD key, 시스템 정보, 네트웍 정보 및
일반적인 해킹 활동인 CD-Rom 열고 닫기, 프로세스 강제 종료, 메일주소 수집, 파일 실행및 삭제 등등을
할수 있다.
그리고 윈도우 시스템 폴더(win 2000, NT : c:\Winnt\system32, win XP : c:\windows\system32, win 95/98/me : c:\windows\system)에
bcvsrv32.exe (103,832 byte) 를 생성 하고
다음처럼 레지스트를 수정하여 다음 부팅시 실행되도록 조작한다.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
항목에
Bcvsrv32 = bcvsrv32.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run \RunServices\
항목에
Bcvsrv32 = bcvsrv32.exe
특히 안티 바이러스및 보안 싸이트에 접속을 방해하는 방식으로 윈도우의 hosts 파일을 조작하게 된다.
(정상적인 hosts의 예)
# Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a ''#'' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
127.0.0.1 localhost
(웜이 바꾼 hosts 파일의 예)
127.0.0.1 ad.doubleclick.net
127.0.0.1 ad.fastclick.net
127.0.0.1 ads.fastclick.net
127.0.0.1 ar.atwola.com
127.0.0.1 atdmt.com
127.0.0.1 avp.ch
127.0.0.1 avp.com
127.0.0.1 avp.ru
127.0.0.1 awaps.net
127.0.0.1 banner.fastclick.net
127.0.0.1 banners.fastclick.net
127.0.0.1 ca.com
127.0.0.1 click.atdmt.com
127.0.0.1 clicks.atdmt.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 download.microsoft.com
127.0.0.1 downloads.microsoft.com
127.0.0.1 engine.awaps.net
127.0.0.1 fastclick.net
127.0.0.1 f-secure.com
127.0.0.1 ftp.f-secure.com
127.0.0.1 ftp.sophos.com
127.0.0.1 go.microsoft.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 mast.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 media.fastclick.net
127.0.0.1 msdn.microsoft.com
127.0.0.1 my-etrust.com
127.0.0.1 nai.com
127.0.0.1 networkassociates.com
127.0.0.1 office.microsoft.com
127.0.0.1 phx.corporate-ir.net
127.0.0.1 secure.nai.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 service1.symantec.com
127.0.0.1 sophos.com
127.0.0.1 spd.atdmt.com
127.0.0.1 support.microsoft.com
127.0.0.1 symantec.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 vil.nai.com
127.0.0.1 viruslist.ru
127.0.0.1 windowsupdate.microsoft.com
127.0.0.1 www.avp.ch
127.0.0.1 www.avp.com
127.0.0.1 www.avp.ru
127.0.0.1 www.awaps.net
127.0.0.1 www.ca.com
127.0.0.1 www.fastclick.net
127.0.0.1 www.f-secure.com
127.0.0.1 www.kaspersky.ru
127.0.0.1 www.mcafee.com
127.0.0.1 www.my-etrust.com
127.0.0.1 www.nai.com
127.0.0.1 www.networkassociates.com
127.0.0.1 www.sophos.com
127.0.0.1 www.symantec.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.viruslist.ru
127.0.0.1 www3.ca.com
- ※ 예방 및 수동 조치 방법
-
- 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
- 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요
