이름

W32/Bagle.I@mm

바이러스 종류

Worm

실행환경

Windows

증상요약

null

위험등급

null

확산방법

null

치료방법

터보백신Ai, 터보백신 Online, 터보백신 2001 제품군으로 치료가능. 터보백신 Ai를 사용하시고 아웃룩을 사용하신 다면 반드시 이메일 감시기를 실행하시기 바랍니다.  

※ 상세 설명

이 웜은 이메일을 통하여 전파되며, 웜을 포함한 이메일은 아래와 같은 제목으로 전파된다. [메일 제목] :-) Hey, dude, it''s me ^_^ :P Hey, ya! =)) Hi! :-) Weah, hello! :-) Weeeeee! ;))) ^_^ meay-meay! ^_^ mew-mew (-: ello! =)) meay-meay! [첨부파일] Attacheddocument Attachedfile Document Info Letter Message MoreInfo Msg Msginfo Readme Text TextDocument TextDocument TextFile [특징] 첨부파일은 zip(크기 : 일정치 않음) 확장자를 가지며, 압축을 해제하면 exe, scr 등의 확장자를 가지고 있다. 처음 실행시에 다음과 같이 윈도우 시스템 폴더(win 2000, NT : c:\Wint\system32, win XP : c:\windows\system32) 에 go154o.exe, i11r54n4.exe, i1i5n1j4.exe, i11r54n4.exeopen 파일을 생성한다. 또한, 다음처럼 레지스트를 수정하여 다음 부팅시 실행되도록 조작한다. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 항목에 (win9x의 경우) rate.exe = c:\windows\system\i1ru54n4.exe (win2000, NT의 경우) rate.exe = c:\winnt\system32\i1ru54n4.exe (WinXP의 경우) rate.exe = c:\windows\system32\i1ru54n4.exe 를 기록한다. 다음으로 .HTM, .HTML,, .TXT, .WAB 확장자를 지닌 파일에서 메일 주소를 수집하여 지체 SMTP를 이용하여 웜이 첨부된 메일을 발송하지만 다음 도메인으로는 감염된 메일이 발송되지 않는다. @hotmail.com @msn.com @microsoft @avp noreply local root@ postmaster@ P2P 공유 프로그램을 사용한다면 다음과 같은 파일을 생성할 수 있다. ACDSee 9.exe Adobe Photoshop 9 full.exe Ahead Nero 7.exe Porno Screensaver.scr Porno pics arhive, xxx.exe Porno, sex, oral, anal cool, awesome!!.exe Serials.txt.exe Windown Longhorn Beta Leak.exe Windows Sourcecode update.doc.exe 또한 일 부 보안 관련 프로세스를 종료 하며 마지막으로 TCP 2745 포트를 열어두는데 해당 포트를 이용한 시스템 정보과 개인정보의 유출 위험이 있다.

※ 예방 및 수동 조치 방법

• 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
• 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요