이름

W32/Goner@mm

바이러스 종류

Worm

실행환경

Win9x, Win2000, NT

증상요약

null

위험등급

null

확산방법

null

치료방법

터보백신 Ai 터보백신 2001 또는 터보백신 Online으로 치료가능합니다.  

※ 상세 설명

비주얼 베이직으로 작성 되었으며, Msvbvm60.dll 파일이 윈도우 시스템 폴더에 있어야 동작 한다. 아웃룩의 주소록을 통해 첨부된 파일을 실행해야만 감염작용을 일으킨다. 바이러스가 실행되면 About 캡션의 창이 뜨고, 곧 Error 캡션의 에러 메시지 박스가 뜬다. 내용은 다음과 같다. Error While Analyze DirectX! 윈도우 시스템 폴더(win9x: c:\windows\system, win2000: c:\winnt\sytem32) 첨부파일과 동일 한 파일명의 바이러스 파일을 복사 한다. 그리고 다음 부팅시 바이러스를 먼저 실행하기 위해 다음과 같이 레지스트리를 수정한다. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 항목에 (win9x의 경우) c:\windows\system\Gone.scr = c:\Windows\System\Gone.scr (win2000의 경우) c:\Winnt\System32\Gone.scr = c:\Winnt\System32\Gone.scr 만약 감염된 시스템에 mIRC 프로그램이 설치되 있으면,remote.ini 파일을 생성한다. 또한 mirc.ini 파일을 수정하여 해당 프로그램이 실행 될때마다 remote.ini 파일을 호출한다. 그리고 방화벽과 안티 바이러스 관련 프로세스를 찾아 해당 프로세스를 종료하고, 해당 프로세스의 폴더에 있는 파일을 모두 삭제 한다. 다음은 해당 프로세스의 목록이다. _AVP32.EXE _AVPCC.EXE _AVPM.EXE AVP32.EXE AVPCC.EXE AVPM.EXE AVP.EXE APLICA32.EXE ZONEALARM.EXE ESAFE.EXE CFIADMIN.EXE CFIAUDIT.EXE CFINET32.EXE PCFWallIcon.EXE FRW.EXE VSHWIN32.EXE VSECOMR.EXE WEBSCANX.EXE AVCONSOL.EXE VSSTAT.EXE NAVAPW32.EXE NAVW32.EXE LOCKDOWN2000.EXE ICLOAD95.EXE ICMON.EXE ICSUPP95.EXE ICLOADNT.EXE ICSUPPNT.EXE TDS2-98.EXE TDS2-NT.EXE SAFEWEB.EXE 메일 본문은 다음과 같다 How are you ? When I saw this screen saver, I immediately thought about you I am in a harry, I promise you will love it! 첨부 파일 : Gone.scr

※ 예방 및 수동 조치 방법

• 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
• 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요