이름

VBS/Reality.B

바이러스 종류

Script Virus

실행환경

Windows

증상요약

null

위험등급

null

확산방법

null

치료방법

터보백신 Ai, 터보백신 2001 또는 터보백신 Online으로 치료가능합니다. <치료후 다음의 보안 패치를 적용> Microsoft VM ActiveX의 취약점을 이용할 위험이 있으므로 아래의 주소에서 패치를 받아 설치하시기 바랍니다. http://www.microsoft.com/technet/security/bulletin/ms00-075.asp  

※ 상세 설명

감염경로는 불분명 하며 메일을 통해서는 전파되지 않는다. 감염된 파일이 실행 되면 최초 Active-X 창이 떠 "예" 버튼을 클릭 하면 바이러스가 실행 된다. 익스플로러의 초기 웹 주소를 xxxx-jxxxn.com으로 변경 하게된다. 그리고 확장자가 htt, htm, html, asp 인 파일과 다음과 같은 폴더를 검색해서 감염 시킨다. C:My Documents C:Windows바탕 화면 C:WindowsDesktop C:WindowsWeb C:WindowsWebWallpaper C:WindowsHelp C:WindowsTemp C:Program FilesInternet ExplorerConnection Wizard C:Program FilesMicrosoft OfficeOfficeHeaders C:Inetpubwwwroot 또한 일정 확률로 윈도우 시스템 폴더(win9x: c:\windows\system, win 2000: c:\winnt\system32, win xp: c:\windows\system32) 에 system.dll 파일을 생성 한다. 감염된 시스템은 재부팅시 COMMAND 폴더에 System16.COM 파일을 생성 하게 되는데 도스용 바이러스 로 윈도우에서는 실행되지 않는다. 다음처럼 레지스트리를 변경하여 active-x 경고창을 띄우지 않게 변경한다. HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0 항목에 1201 의 값을 0 으로 변경한다. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0 항목에 1201 의 값을 0 으로 변경한다. 그리고 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion 항목에 다음의 값을 변경 한다. ProductName = Windogz LicensingInfo = Fxxxing Axxxab! I''m NOT HTML/Reality! Rename HTML/Thrower! RegisteredOwner = Kil13r RegisteredOrganization = in Korea, DLSoft HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main 항목에 Start Page = http://fxxk-jxxxn.com Default_Page_URL = http://fxxk-jxxxn.com

※ 예방 및 수동 조치 방법

• 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
• 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요