이름

W32/Benjamin@mm

바이러스 종류

Worm

실행환경

Win9x, Win2000, NT

증상요약

null

위험등급

null

확산방법

null

치료방법

터보백신 Ai 터보백신 2001 또는 터보백신 Online으로 치료가능합니다.  

※ 상세 설명

델파이로 작성되었으며 실행 파일 압축되 있다. 외국에서 유명한 P2P 서비스인 KaZaA를 통해 확산되며, 많이 사용하고 인기있는 프로그램이나 파일로 위장하여, 이 파일을 내려 받을 경우 실행되어 감염되는 형태로 확산 된다. 바이러스가 실행되면 윈도우 시스템 폴더(win9x: c:\windows\system, win2000: c:\winnt\system32) 에 Explorer.scr파일을 생성한다. 이때 Error이라는 캡션을 가진 오류를 위장한 메시지 창을 띄운다. 메시지의 내용은 다음과 같다. Access error #03A:94674: Invalid pointer operation File possibly corrupted. 이 파일은 다음 부팅시 바이러스를 먼저 실행하기 위해 다음과 같이 레지스트리를 수정한다. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 항목에 (win9x의 경우) System-Service c:\Windows\System\Explorer.scr (Win2000의 경우) System-Service c:\Winnt\System32\Explorer.scr 또한 윈도우 임시 폴더(win9x: c:\windows\temp, win2000: c:\Winnt\temp)에 sys32라는 폴더를 생성하여, 미디어 플레이어 아이콘 모양의 바이러스 파일을 대량으로 생성한다. 파일의 크기는 일정치 않지만 크기가 내려받으려는 파일 사이즈 보다 작다는데 특징이 있다.

※ 예방 및 수동 조치 방법

• 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
• 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요