이름

W32/Badtrans.13312@mm

바이러스 종류

Worm

실행환경

Win9x, Win2000, NT

증상요약

null

위험등급

null

확산방법

null

치료방법

터보백신 Ai 터보백신 2001 또는 터보백신 Online으로 치료가능합니다.  

※ 상세 설명

웃룩을 이용하여 읽지 않은 메일에 대한 답장 형식으로 바이러스 파일을 첨부하여 메일을 보낸다. 바이러스가 실행되면 윈도우 폴더(win9x: c:\windows, win2000: c:\winnt) 에 INETD.EXE(13,312 Byte), kern32.exe(21,882 Byte) 파일을 생성하고, Install error 캡션을 가진 에러창이 뜬다. 메시지의 내용은 다음과 같다. File data corrupt: probably due to bad data transmission or bad disk spacess. 또한 윈도우의 시스템 폴더(win9x: c:\windows\system, win2000: c:\winnt\system32) 에 hksdll.dll파일과 CP_XXXXX.NLS(xxxx는 랜덤한 숫자)파일을 생성한다. 이 파일들은 키로그를 생성하므로 시스템 사용자의 정보가 외부로 유출될 위험이 있다. 그리고 다음 부팅시 바이러스를 먼저 실행하기 위해 다음과 같이 레지스트리를 수정한다. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce 항목에 kernel32 "kern32.exe" 또한 WIN.INI 파일에 아래의 목록이 추가 된다. RUN=C:\WINDOWS\INETD.EXE 메일 본문 은 다음과 같다. Please find attached file for your review. I look forward to hear from you again very soon. Thank you. 첨부 파일 : fun.pif images.pif Pics.ZIP.scr Humor.TXT.pif docs.scr s3msong.MP3.pif Card.pif SETUP.pif searchURL.scr YOU_are_FAT!.TXT.pif hamster.ZIP.scr news_doc.scr New_Napster_Site.DOC.scr Sorry_about_yesterday.DOC.pif Me_nude.AVI.pif README.TXT.pif

※ 예방 및 수동 조치 방법

• 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
• 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요