이름

W32/Bagle.37888@mm

바이러스 종류

Worm

실행환경

Windows

증상요약

일부 안티바이러스및 보안시스템 강제 종료 및 파일 삭제

위험등급

보통

확산방법

광고성 이메일

치료방법

<span class="style4">터보백신 제품군으로 진단/치료 가능합니다.</span>  

※ 상세 설명

이 웜은 광고성 이메일을 통하여 전파되며, W32/Bagle 의 변종중 하나다. [메일 제목] price [메일 내용] 광고성 이메일 [첨부파일] 14_04_2005_950.RAR FOREST.RAR MAKE.RAR VERSES.RAR JOKES_314.ZIP MAKE_5345.ZIP PRICE_43254.ZIP VERSES_5543.ZIP I_KNOW_YOU_34234.ZIP IT_ABOUT_YOU_554.ZIP __00001.ZIP [특징] 웜이 실행되면 다음과 같이 윈도우 시스템 폴더(win 2000, NT : c:\Wint\system32, win XP : c:\windows\system32) 에 Winshost.exe, winwshost.exe 파일을 생성한다. 또한, 다음처럼 레지스트를 수정하여 다음 부팅시 실행되도록 조작한다. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 항목에 (win9x의 경우) winshost.exe = c:\windows\system\winshost.exe (win2000, NT의 경우) winshost.exe = c:\winnt\system32\winshost.exe (WinXP의 경우) winshost.exe = c:\windows\system32\winshost.exe HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 항목에 (win9x의 경우) winshost.exe = c:\windows\system\winshost.exe (win2000, NT의 경우) winshost.exe = c:\winnt\system32\winshost.exe (WinXP의 경우) winshost.exe = c:\windows\system32\winshost.exe 를 기록한다. 또한 다음과 같은 파일이 실행되면 강제 종료 시키게 된다. ATUPDATER.EXE ATUPDATER.EXE AUPDATE.EXE AUTODOWN.EXE AUTOTRACE.EXE AUTOUPDATE.EXE AVPUPD.EXE AVWUPD32.EXE AVXQUAR.EXE AVXQUAR.EXE CFIAUDIT.EXE DRWEBUPW.EXE ESCANH95.EXE ESCANHNT.EXE FIREWALL.EXE ICSSUPPNT.EXE ICSUPP95.EXE LUALL.EXE MCUPDATE.EXE NUPGRADE.EXE NUPGRADE.EXE OUTPOST.EXE UPDATE.EXE UPGRADER.EXE 그리고 일부 안티 바이러스 프로그램과 보안 프로그램의 관련 파일을 강제 삭제 하기도 한다. NAV1APSVC.EXE NAVAPSVC.EXE KAV.exe kav12mm.exe kavmm.exe zonealarm.exe c:\windows 또는 c:\winnt 폴더에 74981.EXE 또는 ile.exe 파일을 특정 싸이트로부터 다운로드 받기도 하지만 확인되지는 않았다. 마지막으로 Hosts 파일을 수정하여 특정 주소로 접속을 방해 한다. 내용은 다음과 같다. updates1.kaspersky-labs.com ad.doubleclick.net ad.fastclick.net ads.fastclick.net ar.atwola.com atdmt.com avp.ch avp.com avp.ru awaps.net banner.fastclick.net banners.fastclick.net ca.com click.atdmt.com clicks.atdmt.com dispatch.mcafee.com download.mcafee.com download.microsoft.com downloads.microsoft.com engine.awaps.net fastclick.net f-secure.com ftp.f-secure.com ftp.sophos.com go.microsoft.com liveupdate.symantec.com mast.mcafee.com mcafee.com media.fastclick.net msdn.microsoft.com my-etrust.com nai.com networkassociates.com office.microsoft.com phx.corporate-ir.net secure.nai.com securityresponse.symantec.com service1.symantec.com sophos.com spd.atdmt.com support.microsoft.com symantec.com update.symantec.com updates.symantec.com us.mcafee.com vil.nai.com viruslist.ru windowsupdate.microsoft.com www.avp.ch www.avp.com www.avp.ru www.awaps.net www.ca.com www.fastclick.net www.f-secure.com www.kaspersky.ru www.mcafee.com www.my-etrust.com www.nai.com www.networkassociates.com www.sophos.com www.symantec.com www.trendmicro.com www.viruslist.ru ftp.kasperskylab.ru ftp.avp.ch www.kaspersky.ru updates1.kaspersky-labs.com updates3.kaspersky-labs.com updates4.kaspersky-labs.com updates2.kaspersky-labs.com updates5.kaspersky-labs.com downloads1.kaspersky-labs.com www.kaspersky-labs.com updates3.kaspersky-labs.com downloads1.kaspersky-labs.com www3.ca.com ids.kaspersky-labs.com downloads2.kaspersky-labs.com downloads1.kaspersky-labs.com downloads3.kaspersky-labs.com downloads4.kaspersky-labs.com liveupdate.symantecliveupdate.com liveupdate.symantec.com update.symantec.com download.mcafee.com www.symantec.com securityresponse.symantec.com symantec.com www.sophos.com sophos.com www.mcafee.com mcafee.com liveupdate.symantecliveupdate.com www.viruslist.com viruslist.com f-secure.com www.f-secure.com kaspersky.com kaspersky-labs.com www.avp.com www.kaspersky.com avp.com www.networkassociates.com networkassociates.com www.ca.com ca.com mast.mcafee.com my-etrust.com www.my-etrust.com download.mcafee.com dispatch.mcafee.com secure.nai.com nai.com www.nai.com update.symantec.com updates.symantec.com us.mcafee.com liveupdate.symantec.com customer.symantec.com rads.mcafee.com trendmicro.com www.trendmicro.com www.grisoft.com downloads-us1.kaspersky-labs.com downloads-us2.kaspersky-labs.com downloads-us3.kaspersky-labs.com ftp.downloads2.kaspersky-labs.com

※ 예방 및 수동 조치 방법

• 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
• 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요