2024 정부지원사업 랜섬웨어 대응/예방 정부 지원 사업 - 도입 기회를 놓치지 마세요!!자세히 보기
  • 바이러스 정보
  • 터보백신에서 분석한 바이러스 위협 정보, 보안 통계를 확인할 수 있습니다.
이름
Worm-W32/BoBox.22528
바이러스 종류
Worm
실행환경
Windows
증상요약
null
위험등급
null
확산방법
null
치료방법
터보백신Ai, 터보백신 Online, 터보백신 2001 제품군으로 치료가능. <br> <br> 마이크로 소프트 MS04-011 보안패치가 안된 사용자는 다시 재감염 되므로 다음 링크에서 해당 운영체제에 맞는 보안패치를 받아 설치 해야 한다. <br> <a href="http://www.microsoft.com/korea/technet/security/bulletin/MS04-011.asp"><font color="blue">MS04-011 보안패치 페이지 설명(한글)</a><br><br> <a href="http://www.microsoft.com/downloads/details.aspx?FamilyId=3549EA9E-DA3F-43B9-A4F1-AF243B6168F3&displaylang=ko"><font color="blue">Windows XP 패치 다운로드</a><br><br> <a href="http://www.microsoft.com/downloads/details.aspx?FamilyId=0692C27E-F63A-414C-B3EB-D2342FBB6C00&displaylang=ko"><font color="blue">Windows 2000 패치 다운로드</font></a><br><br> 만약 패치를 받는 동안 윈도우 재부팅 카운드가 나오면 다음과 같이 중지시키도록 한다.<br><br> [시작]->[실행] -> Shutdown -a 입력후 [enter] <br><br> <br><br> [참고]<br> 마이크로 소프트 사에서는 네트웍 보안 취약점에 대한 검사를 실행해 주는 MBSA(Microsoft Baseline Security Analyzer) 프로그램을 제공하고 있으므로 확인해 보기 바란다.<br><br> <a href="http://www.microsoft.com/korea/technet/security/tools/Tools/MBSAhome.asp"><font color="blue">http://www.microsoft.com/korea/technet/security/tools/Tools/MBSAhome.asp</font></a><br><br> 상세설명  진단/치료방법
※ 상세 설명
이 웜은 Worm-W32/Sasser.15872 처럼 마이크로 소프트 사에서 발표한 2004년 4월 보안 패치중 MS04-011 패치가 안된 컴퓨터를 대상으로 작동 한다. 해외에서 5월 18일 부터 전파되기 시작 하였으며 TCP 445번 포트의 이상 트레픽을 일으킨다. 또한 TCP 445번 을 이용하여 타겟의 버퍼 오버런을 발생 하고, 감염된 시스템은 HTTP 서버가 된다. 그리고 일부 시스템에서는 인터넷 익스플로러 사용시 페이지를 찾을수 없다는 메시지와 함께 웹 서핑이 어려워지기도 한다. [특징] MS04-011 패치가 안된 시스템을 찾기 위해 감염된 시스템으로부터 TCP 5000 포트를 이용, 임의의 IP 대역으로 접속을 시도 하며, 취약점 시스템을 발견할 경우 svc.exe(22,528byte) 파일을 다운로드 시키고 ~(숫자).tmp (ex : ~1.tmp, ~4.tmp 등등)을 생성하여 explore 에 inject 시킨다. 그리고 윈도우의 시스템 폴더(win 2000, NT : c:\Winnt\system32, Win XP : c;\windows\system32)에 (랜덤 파일명).exe 웜 파일이 만들어 진다. (ex : ujlzzdgh.exe ) 또한, 다음처럼 레지스트를 수정하여 다음 부팅시 실행되도록 조작한다. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 항목에 (win2000, NT의 경우) (랜덤 파일명) = c:\winnt\system32\(랜덤 파일명).exe (WinXP의 경우) (랜덤 파일명) = c:\windows\(랜덤 파일명).exe
※ 예방 및 수동 조치 방법
  • 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
  • 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요
이전글
W32/Zafi@mm
다음글
W32/Klez.E@mm