이름

W32/Lioten.16896@mm

바이러스 종류

Worm

실행환경

in9x, Win2000, NT

증상요약

null

위험등급

null

확산방법

null

치료방법

터보백신 Ai 터보백신 2001 또는 터보백신 Online으로 치료가능합니다. 치료후 윈도우 로그인 암호를 영문과 숫자의 혼합으로 변경해 주어야 한다.  

※ 상세 설명

공유폴더를 통해 감염되며, 바이러스가 실행되면 100개의 쓰레드를 생성하여 랜덤한 IP를 이용 TCP445 포트를 통하여 공유폴더가 있는 시스템에 접근한다. 접근이 성공하면 다음과 같은 암호로 접속을 시도한다. 1 654321 123456 1234 123 111 server !@#$%^&* !@#$%^& !@#$%^ !@#$% asdfgh asdf !@#$ root admin 접속이 성공하면 윈도우 폴더 시스템 폴더 (win9x: c:\windows\system, win2000: c:\winnt\system32)에 iraq_oil.exe파일을 생성한다. 그러나 win2000 운영체제인경우 다음과 같은 폴더에 정상적인 Tdi.sys(16,464byte)이 존재하는데, 삭제해서는 안된다. c:\winnt\system32\dllcache c:\winnt\system32\drivers 그리고 윈도우 폴더와 윈도우 시스템 폴더를 제외한 모든 폴더의 실행파일을 감염시키며 감염된 파일의 길이는 36,864Byte만큼 커진다. 또한 1863번 포트를 열어 두는 특징이 있다.

※ 예방 및 수동 조치 방법

• 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
• 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요