2024 정부지원사업 랜섬웨어 대응/예방 정부 지원 사업 - 도입 기회를 놓치지 마세요!!자세히 보기
  • 바이러스 정보
  • 터보백신에서 분석한 바이러스 위협 정보, 보안 통계를 확인할 수 있습니다.
이름
W32/Bagle.Y@mm
바이러스 종류
Worm
실행환경
Windows
증상요약
null
위험등급
null
확산방법
null
치료방법
터보백신Ai, 터보백신 Online, 터보백신 2001 제품군으로 치료가능. 터보백신 Ai를 사용하시고 아웃룩을 사용하신 다면 반드시 이메일 감시기를 실행하시기 바랍니다. 상세설명  진단/치료방법
※ 상세 설명
<br> 이 웜은 이메일을 통하여 전파되며, UPX 실행 압축프로그램으로 압축되 있다.<br> 첨부파일의 아이콘 모양은 다음처럼 체리 모양의 아이콘이다.<br> <br> <br> <br><img src="http://www.everyzone.com/info/virus_db/images/Bagle_Y_icon.jpg" border="0"> <br> 웜을 포함한 이메일은 비밀번호를 제공하는 그림이 포함될 수 있는데 zip 확장자의 첨부파일을 사용하게 되며, 아래와 같은 제목으로 전파된다. <br> [메일 제목] <br> <br> Fax Message Received <br> Forum notify <br> Hello! <br> Hey! <br> Hidden message <br> I just need a friend <br> I like you <br> I''''m a sad girl... <br> I''''m bored with this life <br> Incoming message <br> Let''''s socialize, my friend! <br> Let''''s talk, my friend! <br> Notify from a known person ;-) <br> Protected message <br> RE: Protected message <br> RE: Text message <br> Re: Document <br> Re: Hello <br> Re: Hi <br> Re: Incoming Fax <br> Re: Incoming Message <br> Re: Msg reply <br> Re: Thank you! <br> Re: Thanks :) <br> Re: Yahoo! <br> Request response <br> Site changes <br> Encrypted document <br> <br> [메일 내용] <br> <br> I love, as the good company, and I dream about romantic appointment at candles with loved. I still believe in love.<br> <br> I am a student. I''''m studying international relationships. I would like to find an interesting and active man for serious relations. Sitting at home it is not for me. I like to go out to the theater, cinema, and nightclubs. <br> <br> You are cool :-) <br> <br> I''''m so bored, let me talk with you... <br> <br> Cometime I write a poem, play the gitar. I love a traveling, I like a romantice and I want to meet, comeday, my big love! <br> <br> Read the attach. <br> <br> Attached file tells everything. <br> <br> Attached file will tell you everything. <br> <br> For details see the attach. <br> <br> For more information see the attached file. <br> <br> Here is the file. <br> <br> Message is in attach <br> <br> More info is in attach <br> <br> Please, have a look at the attached file. <br> <br> See attach. <br> <br> See the attached file for details. <br> <br> Your file is attached. <br> <br> Further details are in attach. <br> <br> Best wishes, (보낸사람) <br> <br> Sincerely, (보낸사람) <br> <br> Yours, (보낸사람) <br> <br> Cheers, (보낸사람) <br> <br> Kind regards, (보낸사람) <br> <br> Have a good day, (보낸사람)<br> <br> 외 다수.<br> <br> [첨부파일]<br> <br> 확장자는 .exe, .com, .scr, .cpl, .hta, .vbs 중에 하나다.<br> <br> Information <br> Details <br> Readme <br> Document <br> Info <br> MoreInfo <br> Message <br> <br> <br> <br><img src="http://www.everyzone.com/info/virus_db/images/Bagle_Y_outlook.jpg" border="0"> <br> <br> (웜이 발송한 메일의 예)<br> <br> 메일 제목: Re: Yahoo! <br> <br> 본문 내용: Message is in attach<br> <br> 첨부파일 이름: Document.scr<br> <br> <br> [특징]<br> <br> 웜이 실행되면 다음과 같이 윈도우 시스템 폴더(win 2000, NT : c:\Wint\system32, win XP : c:\windows\system32) 에 drvsys.exe, drvsys.exeopen, drvsys.exeopenopen파일을 생성한다.<br> <br> 또한, 다음처럼 레지스트를 수정하여 다음 부팅시 실행되도록 조작한다. <br> HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 항목에 <br> <br> (win9x의 경우) <br> drvsys.exe = c:\windows\system\drvsys.exe <br> <br> (win2000, NT의 경우) <br> drvsys.exe = c:\winnt\system32\drvsys.exe<br> <br> (WinXP의 경우) <br> drvsys.exe = c:\windows\system32\drvsys.exe<br> <br> 를 기록한다. <br> 다음으로 .HTM, .HTML,, .TXT, .WAB, .PHP, .XLS, XML, .MSG, .mbx, .mdx, .jsp, .eml, .cgi 확장자를 지닌 파일에서 메일 주소를 수집하여 자체 SMTP를 이용하여 웜이 첨부된 메일을 발송하지만 다음 도메인으로는 감염된 메일을 발송하지 않는다<br> <br> @avp.<br> @hotmail.com <br> @iana <br> @messagelab <br> @microsoft <br> abuse <br> admin <br> anyone@ <br> bugs@ <br> cafee <br> certific <br> contract@ <br> f-secur <br> feste <br> free-av <br> gold-certs@ <br> google <br> help@ <br> icrosoft <br> info@ <br> linux <br> listserv <br> local <br> nobody@ <br> noone@ <br> noreply <br> ntivi <br> panda <br> postmaster@ <br> rating@<br> root@ <br> samples <br> sopho <br> support <br> winrar <br> winzip <br> <br> netsky 웜이 생성한 다음과 같은 레지스트리 키를 삭제 한다.<br> <br> 9XHtProtect <br> Antivirus <br> HtProtect <br> ICQ Net <br> ICQNet <br> My AV <br> Special Firewall Service <br> Tiny AV <br> Zone Labs Client Ex <br> service <br> 그리고 다음과 같은 문자열을 가지고 있다.<br> <br> UNIQUE PEOPLE MAKE UNIQUE THINGS THAT THINGS STAY BEYOND THE NORMAL LIFE AND COMMON UNDERSTANDING THE PROBLEM IS THAT PEOPLE DON''T UNDERSTAND SUCH WILD THINGS, LIKE A MAN DID NEVER UNDERSTAND THE WILD LIFE <br> 마지막으로 TCP 2535 포트를 열어두어 개인정보 유출의 위험성이 있으며 일부 보안관련 프로그램의 프로세스를 종료 시킨다.<br> <br>
※ 예방 및 수동 조치 방법
  • 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
  • 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요