이름

W32/Lirva.32766@mm

바이러스 종류

Worm

실행환경

Win9x, Win2000, NT

증상요약

null

위험등급

null

확산방법

null

치료방법

터보백신 Ai 터보백신 2001 또는 터보백신 Online으로 치료가능합니다.  

※ 상세 설명

부정확한 MIME 헤더를 이용하여 E-mail첨부를 실행하도록 야기하는 보안 버그를 이용한다. 이메일을 통해 전파되며 메밀 제목이 일정치 않고 랜덤하게 선택 되어진다. 바이러스 메일을 보내는 메일 주소는 IDX,NCH, SHTML, TBB, HTM, EML, HTML, WAB, MBX, DBX 등의 확장자에서 선택되어 진다. 또한 mIRC, ICQ, KaZaa, 네트웍크 공유폴더를 통해서도 전파된다. 바이러스가 실행되면 c:, 윈도우 시스템 폴더, 임시 폴더(c:\windows\temp), 휴지통 폴더(c:\Recycled)에 랜덤한 파일명으로 자기자신을 복사 한다. 그리고 다음 부팅때 바이러스를 먼저 실행 하기 위하여 다음과 같이 레지스트리를 수정한다. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 항목에 (win9x의 경우) Avril Lavigne - Muse = c:\Windows\system\(숫자로된 랜덤한 파일명).exe (win2000의 경우) 또한 다음과 같이 Autoexec.bat에 첨가 한다. @win \RECYCLED\(영문숫자조합의랜덤파일명).exe 바이러스는 실행중인 프로그램중 다음과 같은 문자열을 가지고 있는 주요 백신 프로그램의 프로세스를 종료 시킨다. virus, anti, McAfee, Virus, Anti, AVP, Norton 그리고 매월 7일, 11일, 24일에 인터넷 익스플로러의 시작주소를 변경하고 간단한 도형 에이메이션을 보여 준다. 메일제목은 다음목록중에서 랜덤하게 선택 된다. Fw: Prohibited customers... Fw: Avril Lavigne - the best Re: Brigade Ocho Free membership Re: According to Daos Summit Re: Reply on account for IFRAME-Security breach Re: Reply on account for IIS-Security Re: ACTR/ACCELS Transcriptions Re: The real estate plunger Fwd: Re: Admission procedure Fwd: Re: Reply on account for Incorrect MIME-header 첨부파일명은 다음목록중에서 랜덤하게 선택 된다. AvrilSmiles.exe AvrilLavigne.exe Cogito_Ergo_Sum.exe CERT-Vuln-Info.exe IAmWiThYoU.exe Resume.exe Download.exe MSO-Patch-0071.exe MSO-Patch-0035.exe Two-Up-Secretly.exe Transcripts.exe Complicated.exe Singles.exe Sophos.exe

※ 예방 및 수동 조치 방법

• 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
• 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요