2024 정부지원사업 랜섬웨어 대응/예방 정부 지원 사업 - 도입 기회를 놓치지 마세요!!자세히 보기
  • 바이러스 정보
  • 터보백신에서 분석한 바이러스 위협 정보, 보안 통계를 확인할 수 있습니다.
이름
W32/Swen.106496@mm
바이러스 종류
Worm
실행환경
Win9x, Win2000, NT
증상요약
null
위험등급
null
확산방법
null
치료방법
터보백신 Ai, 터보백신 2001 또는 터보백신 Online으로 치료 가능 합니다. 바이러스 치료후 인터넷 익스플로러 6.0 으로 업그래이드 하거나 다음의 url 에서 아웃룩 패치를 받아야 한다. http://www.microsoft.com/korea/technet/security/bulletin/MS01-020.asp 상세설명  진단/치료방법
※ 상세 설명
비주얼 C++로 작성되었으며, P2P 응용 프로그램인 KaZaA 그리고 mIRC 등으로 전파된다. 해당 웜은 마이크로소프트가 보낸 형식의 패치파일 프로그램과 랜덤한 제목을 가지는 일반 텍스트 메일형식을 가지고 있다. 랜덤한 제목을 가지는 일반 텍스트 형식의 메일은 보안패치가 안된 아웃룩에서 메일을 읽기만 해도 자동 실행되는 보안버그를 이용하기도 한다. 그리고 이 웜은 윈도우 보안패치 형식과 일반 텍스트 형식의 메일이 짝을 이루어 동시에 보내진다. 웜은 *.dbx, *.mbx, *.eml,*.wab, *.asp, *.ht* 파일에서 메일 주소를 추출 하여 자체 smpt를 이용 감염된 파일과 함께 메일을 발송하며,네트워크 공유폴더를 통해 전파되기도 한다. 웜이 실행 되면 윈도우 폴더(win9x, xp : c:\windows, win2000 : c:\winnt)에 복사본을 랜덤한 파일이름으로 생성한다. 그리고Swen1.dat파일을 생성하는데 뉴스그룹의 서버 주소가 저장되 있다. 특히 *.reg 형식의 확장자를 실행할때의 레지스트리를 변경하기 때문에 reg 파일을 실행하려 할 경우 다음과 같은 에러 메시지를 나타낸다. ''Memory access violation in module kernel32 at xxxx''( xxxx : 랜덤한 숫자) 또한 자신을 실행할수 있게 아래의 내용이 레지스트리에 추가 된다. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 항목에 랜덤한 데이터 값 = (랜덤한파일명).exe autorun HKEY_CLASSES_ROOT\batfile\shell\open\command 항목에 (Default) = (랜덤한파일명).exe "%1" %* HKEY_CLASSES_ROOT\comfile\shell\open\command 항목에 (Default) = (랜덤한파일명).exe "%1" %* HKEY_CLASSES_ROOT\exefile\shell\open\command 항목에 (Default) = (랜덤한파일명).exe "%1" %* HKEY_CLASSES_ROOT\piffile\shell\open\command 항목에 (Default) = (랜덤한파일명).exe "%1" %* HKEY_CLASSES_ROOT\regfile\shell\open\command 항목에 (Default) = (랜덤한파일명).exe showerror HKEY_CLASSES_ROOT\scrfile\shell\open\command 항목에 (Default) = (랜덤한파일명).exe "%1" /S HKEY_CLASSES_ROOT\scrfile\shell\config\command 항목에 (Default) = (랜덤한파일명).exe "%1" 그리고 다음과 같은 프로세스가 발견되면 해당 프로그램을 강제 종료 시킨다. _avp ackwin32 anti-trojan aplica32 apvxdwin autodown avconsol ave32 avgcc32 avgctrl avkserv avsched32 avwin95 avwupd32 blackd blackice bootwarn ccapp ccshtdwn cfiadmin cfiaudit cfind cfinet claw95 ecengine efinet32 esafe espwatch f-agnt95 f-prot f-prot95 f-stopw findviru fp-win fprot fprot95 iamapp iamserv ibmasn ibmavsp icload95 icloadnt icmon icmoon icssuppnt icsupp iface iomon98 kpfw32 lookout luall lockdown2000 moolive mpftray msconfig nai_vs_stat navapw32 navlu32 navnt navsched nisum nmain normist nupdate nupgrade nvc95 outpost padmin pavcl pavsched pcciomon pccmain pccwin98 persfw pop3trap pview pcfwallicon regedit rescue safeweb serv95 sphinx sweep vcleaner vcontrol vet32 vet95 vet98 vettray vscan vsecomr vshwin32 vsstat webtrap wfindv32 zapro zonealarm *마이크로 소프트 패치형식 보낸사람 : 다음에서 선택된다. MS Corporation Security Center Microsoft Corporation Security Bulletin Microsoft Corporation Security Department 메일제목 : 다음에서 선택된다. Latest Pathch Newest Security Upgrade Internet Security Upgrade 받는 사람 : 다음에서 선택된다. Consumer Client Microsoft Coporation Consumer *일반 메일 형식 보낸사람 : 다음에서 선택된다. MS Mail Delivery System MS Net Message Storage System network email storage system 메일제목 : 다음에서 선택된다. advice (제목없음) report 받는사람 : 다음에서 선택된다. Mail Receiver internet recipient Email Recipient
※ 예방 및 수동 조치 방법
  • 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
  • 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요