2024 정부지원사업 랜섬웨어 대응/예방 정부 지원 사업 -
도입 기회를 놓치지 마세요!!
자세히 보기
- 바이러스 정보
- 터보백신에서 분석한 바이러스 위협 정보, 보안 통계를 확인할 수 있습니다.
- 이름
- Worm-W32/Korgo.9359.C
- 바이러스 종류
- 없음
- 실행환경
- Windows
- 증상요약
- null
- 위험등급
- null
- 확산방법
- null
- 치료방법
- 터보백신Ai, 터보백신 Online, 터보백신 2001 제품군으로 치료가능. <br>
<br>
치료 후 다음의 보안패치를 수행해 주십시요.<br>
<br>
*MS04-011 보안패치<br>
<br>
<a href="http://www.microsoft.com/korea/technet/security/bulletin/MS04-011.asp"><font
color="blue">http://www.microsoft.com/korea/technet/security/bulletin/MS04-011.asp</font></a><br><br>
<br>
[시작]->Windows Update 메뉴를 이용하여
<br>
윈도우 운영체제 자체의 보안패치를 해 주시기 바랍니다.
<br>
간편한 패치에 대한 설명은 다음 바이러스칼럼을 확인해 주시기 바랍니다.
<br>
<a href="http://www.everyzone.com/service/info/content.asp?part=tbl_viruscolumn&id=20&GotoPage=1&block=&number="><font
color="blue">http://www.everyzone.com/service/info/content.asp?part=tbl_viruscolumn&id=20&GotoPage=1&block=&number=</font></a><br><br>
<br>
보다 자세한 설명은 다음 링크를 확인해 주십시요.
<br>
<a href="http://www.everyzone.com/service/bbs/faq/content.asp?part=everyzone_faq&menu=0&id=22&GotoPage=3&block=0&number="><font
color="blue">http://www.everyzone.com/service/bbs/faq/content.asp?part=everyzone_faq&menu=0&id=22&GotoPage=3&block=0&number=</font></a><br><br>
- ※ 상세 설명
- 이 웜은 네트웍 트래픽을 유발 하며 TCP/445를 이용 랜덤한 IP를 대상으로 퍼진다.
[특징]
웜이 실행 되면 윈도우 MS04-011 보안 취약점 패치가 안된 시스템을 445 포트를 이용하여 찾게 되고
이 과정에서 네트웍 트래픽이 유발 된다.
윈도우의 시스템 폴더(win 2000, NT : c:\Winnt\system32, win XP : c:\windows\system32, win 95/98/me : c:\windows\system)에
랜덤영문.exe(9,359 byte)파일로 존재 한다.
(ex)ftpupd.exe, ieuqt.exe
또한, 다음처럼 레지스트를 수정하여 다음 부팅시 실행되도록 조작한다.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
항목에
(win9x의 경우)
Cryptographic Service = C:\WINDOWS\system\랜덤 영문.exe
(win2000, NT의 경우)
Cryptographic Service = C:\WINNT\system32\랜덤 영문.exe
(WinXP의 경우)
Cryptographic Service = C:\WINDOWS\system32\랜덤 영문.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wireless
항목에
ID = 랜덤한 영문자
그리고 다음과 같은 레지스트리 값을 삭제 한다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
avserve.exe
avserve2.exe
Bot Loader
Disk Defragmenter
MS Config v13
SysTray
System Restore Service
Update Service
WinUpdate
Windows Security Manager
Windows Update
Windows Update Service
마지막으로 다음과 같은 사이트에 접속하여 Trojan-W32/Berbew.46080 를 다운로드 한다.
0AB1cvv.ru
adult-empire.com
asechka.ru
citi-bank.ru
color-bank.ru
crutop.nu
fethard.biz
filesearch.ru
kavkaz.tv
kidos-bank.ru
konfiskat.org
master-x.com
mazafaka.ru
parex-bank.ru
roboxchange.com
www.redline.ru
xware.cjb.net
- ※ 예방 및 수동 조치 방법
-
- 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
- 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요
