이름

W32/Mybabypic.77824@mm

바이러스 종류

Worm

실행환경

Win9x, Win2000, NT

증상요약

null

위험등급

null

확산방법

null

치료방법

터보백신 Ai 터보백신 2001 또는 터보백신 Online으로 치료가능합니다.  

※ 상세 설명

아웃룩을 통해 메일로 전파된다. 바이러스가 실행되면, 윈도우 폴더 시스템 폴더(win9x: c:\windows\system, win2000: c:\winnt\system32)에 WINKernel32.exe, mybabypic.exe, Win32DLL.exe, cmd.exe, command.exe파일을 생성한다. 그리고 다음과 같이 레지스트리를 수정하여 다음부팅시 바이러스가 먼저 실행되도록 한다. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion unmybabypic = (시스템폴더명)mybabypic.exe HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion unWINKernel32 = (시스템폴더명)Kernel32.exe HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices = (시스템폴더명)Win32DLL.exe HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ mybabypic 항목에 (win9x의 경우) (기본값) = c:\windows\system\mybabypic.exe (win2000의 경우) (기본값) = c:\winnt\system32\mybabypic.exe HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ WINKernel32 항목에 (win9x의 경우) (기본값) = c:\windows\system\WINKernel32.exe (win2000의 경우) (기본값) = c:\winnt\system32\WINKernel32.exe HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices 항목에 (win9x의 경우) (기본값) = c:\windows\system\Win32DLL.exe" (win2000의 경우) (기본값) = c:\winnt\system32\Win32DLL.exe" 그리고 다음과 같은 확장자를 가진 파일은 원본파일을 바이러스로 겹쳐쓰기 때문에 사용할 수 없게 된다. C CPP CSS H HTA JPG JPEG JS JSE PAS PBL SCT WSH 또한 확장자가 VBS, VBE 파일은 삭제해 버리고 mp2, mp3, m3u 확장자를 가진 파일은 원본파일을 숨김속성으로 숨기고, 원래의 파일명과 확장자에다 exe 확장자가 붙은 이중확장자의 바이러스로 대체되게 된다.

※ 예방 및 수동 조치 방법

• 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
• 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요