2024 정부지원사업 랜섬웨어 대응/예방 정부 지원 사업 - 도입 기회를 놓치지 마세요!!자세히 보기
  • 바이러스 정보
  • 터보백신에서 분석한 바이러스 위협 정보, 보안 통계를 확인할 수 있습니다.
이름
Worm-W32/SMB.163840
바이러스 종류
Worm
실행환경
9x, 2000, nt, xp
증상요약
null
위험등급
null
확산방법
null
치료방법
터보백신 Ai, 터보백신 2001 또는 터보백신 Online으로 치료 가능 합니다. 상세설명  진단/치료방법
※ 상세 설명
MSN 메신저를 통해 2003/09/26 현재 급속히 SMB.exe 파일이 전파되고있다. 실행 할 경우, MSN 에 등록된 주소로 자동으로 재전송한다. MSN 메신저를 통해 전송된 SMB.exe 파일을 받아 실행하게되면, admagic.exe, msnVC.exe, raw32x.dll, sm.dll 이 생성된다. SMB.exe 자체 적으로 uz.exe 라는 Mini unzip 프로그램을 내장하여 파일들을 해제하게된다. 해제된 파일은 C: 루트 폴더로 이동되며, 레지스트리에 사이트주소등과 레즈스트리에 등록되어 윈도우 시작시 실행된다. sm.dll 파일이 로드되면, 자체 스크립트가 실행되어 IE(인터넷익스플로러) 가 실행될때 동시에 실행되도록 한다. [레지스트리 값] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 항목에 svchost = c:\Admagic.exe 를 등록한다. 바이러스 파일 내부에 다음의 주소가 내장되어 무작위적으로 접속을 시도한다. http://sexwal.porno10000hwa.com/?i=8 http://www.asiasex.jp/?pip=sexwal http://realbozi.com/code.php?p=sexwal&i=2 http://www.sex-korea.cn/?pip=sexwal http://hiddensex.jp/index5.php?code=sexwal http://hyeyoungnude.com/?p=sexwal&i=10 http://www.say0303.com/index.php?code=030317077111&intro=&adult_pass= http://erosasia.com/index.cgi?ID=1244275 http://sseng10tv.com/index.asp?ID=7693387 바이러스 내부에 다음과 같은 문자열을 가진다. a d m a g i c H e l l o W o r l d ! A D M A G I C
※ 예방 및 수동 조치 방법
1. Crtl+Alt+Del 키를 누르면 프로세스 목록을 확인 할 수 있다. admagic.exe 가 있다면 강제종료한다. 2. C: 루트 디렉토리의 smb.exe, admagic.exe 를 삭제한다. 3. [시작]-[실행]에서 Regedit.exe 실행 후, 다음의 키 값을 삭제한다. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 항목에 svchost = c:\Admagic.exe 값 삭제
  • 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
  • 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요
이전글
W32/Jeefo
다음글
Worm-W32/Opasoft.24064.B