이름

W97M/Caligula

바이러스 종류

Macro Virus

실행환경

Win9x, 2000, XP (office 가능환경)

증상요약

null

위험등급

null

확산방법

null

치료방법

터보백신 Ai 으로 치료 가능.  

※ 상세 설명

이 바이러스는 Word97 매크로 바이러스에서 새로 발견된 것이며, 파일의 감염 방법이 파일/import 에서 export 를 사용한다. 호스트 파일은 c:\io.vxd 파일이 바이러스 코드의 작용을 한다. AUTOCLOSE 매크로를 모함하여 이 매크로는 CALIGULA 라 불린다. Author: ''Opic'' Title: ''WM97/Caligula Infection'' Subject: ''A Study In Espionage Enabled Viruses.'' Comments: ''The Best Security Is Knowing The Other Guy Hasn''t Got Any.'' Keywords: '' | Caligula | Opic | CodeBreakers | '' 매크로 위험 기능을 해제하며, normal.dot 를 프롬프트에 저장하여 변환한것을 확인한다. ToolsMacro, VB Editor 기능을 불가느앟게 한다. 메뉴아이템중 ToolsMacro, ToolsCustomize, ViewToolbars 를 불가하게 하며, 매달 31일날 메시지 박스를 출력한다. 유저의 이름이 Caligula 일 경우 PGP Secure Keyring 을 찾기시작하며, 레지스트리로부터 회수한 유저의 이름을 발송한다. ''HKCU\Software\Microsoft\MS Setup (ACME)\User Info'' PGP Secure Keyring 를 찾을 때 레지스트리의 entry 중 PGP installed path 를 얻어 찾게된다. 이 키가 이미 존재한다면, PGP 패스에서 Secring.skr 를 찾는다. 위 파일이 발견되면, 파일은 바이러스 제작자의 ftp site 에 ''c:\cdbrk.vxd'' 로서 쓰여진 스크립트를 이용하여 업로드 하게되며, ftp.exe 를 이용한다. (숨겨진 속성의 프로세스) 컴퓨터이 사용자 이름이 ''Caligula'' 로 강제 설정된다.

※ 예방 및 수동 조치 방법

• 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
• 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요