이름

W32/Nimda@mm

바이러스 종류

Worm

실행환경

Win9x, Win2000

증상요약

null

위험등급

null

확산방법

null

치료방법

터보백신 또는 터보백신 Online으로 치료 가능하다.(터보백신으로 치료 한 경우라면 아래 * 내용은 하실 필요 없지만 한번 점검해 보시기 바란다.) * 윈9x 계열에 감염된 경우에는 윈도우즈 폴더에 있는 system.ini 파일에서 shell=explorer.exe load.exe -dontrunold 부분을 shell=explorer.exe 로 바꾼다. - IIS 사용자의 경우 반드시 IIS 를 종료 하시고, 패치하신 후에 치료하시 기 바란다. - riched20.dll 이 웜에 의해서 겹쳐 써진 경우라면 치료후에 riched20.dll 파일을 윈도우즈 시스템 폴더(윈9x: \Windows\System, WinNT/2000: \WinNT\System32) 에 복사해 주시기 바란다. (riched20.dll 파 일이 겹쳐써진 경우 경우 오피스 프로그램 등의 실행시에 오류가 발생할 수 있다.) 패치방법 : - 인터넷 익스플로어는 부정확한 MIME 헤더는 첨부파일을 열기만 해도 실행 하도록 하는 문제가 있는데, 아래 주소에서 패치를 받아 적용시키면 이를 막을 수 있다. http://www.microsoft.com/technet/treeview/default.asp? url=/technet/security/bulletin/MS01-020.asp - 윈도우즈 서버상에서 IIS 를 실행하는 사용자라면 반드시 아래 주소에서 Web Server Folder Traversal 보안 패치를 받아서 적용하기 바란 다. http://www.microsoft.com/technet/treeview/default.asp? url=/technet/security/bulletin/MS01-044.asp  

※ 상세 설명

부정확한 MIME 헤더를 이용하여 E-mail첨부를 실행하도록 야기하는 보안 버그를 이용한다. 자체 smtp를 이용한 이메일과 네트워크 공유폴더, 보안패치가 안된 IIS 웹서버의 취약점을 이용하여 바이러스가 전파된다. 바이러스 메일을 보내는 주소는 아웃룩의 주소록과 htm, html의 정보를 이용하며, 네트워크 공유폴더를 이용할 경우에는 doc 문서의 제목을 이용하여 확장자가 eml, nws 파일로 클릭만 해도 자동으로 퍼지게 된다. 또한 감염된 시스템의 모든 드라이브를 읽기/쓰기 상태로 공유시킨다. 바이러스가 실행되면, 윈도우 폴더(win9x: c:\windows, win2000: c:\winnt)에 Load.exe, riched20.dll 파일을 생성하고, 설정된 드라이브의 루트 디렉토리에 admin.dll 파일을 생성한다. win.ini에 다음의 항목을 추가하여 다음 부팅때 바이러스가 실행되도록 한다. shell=explorer.exe load.exe -dontrunold 보안패치가 안된 IIS 웹서버의 루트 드라이브에는 index, default, main의 파일이름을 가진 htm, html, asp 파일을 찾아서 readme.eml 파일을 복사해 놓는다. 윈도우 임시 폴더(win9x: c:\windows\temp, win2000: c:\winnt\temp)에 mepXXXX.TMP파일(xxxx: 임의의 숫자와 영문자)과 mepXXXX.TMP.exe 파일을 생성하게 되는데 숨김속성과 시스템 파일 속성, 읽기 전용 속성을 가진다. 바이러스에 감염된 경우 생성하는 파일중 riched20.dll은 오피스 제품군에서 문서를 저장하거나 불러 올때 오류를 일으키게 되는데, 다른 정상적인 pc에서 해당 파일을 복사해 감염된 시스템에 넣어 주어야 한다.

※ 예방 및 수동 조치 방법

• 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
• 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요