이름

W32/Bride@mm

바이러스 종류

Worm

실행환경

Win9x, Win2000, NT

증상요약

null

위험등급

null

확산방법

null

치료방법

터보백신 Ai, 터보백신 2001 또는 터보백신 Online으로 치료가능합니다. < Outlook Express > http://www.microsoft.com/windows/ie/downloads/critical/q323759ie/defau lt.asp < Outlook 2000 > http://office.microsoft.com/korea/downloads/2000/Out2ksec.aspx < Outlook 2002(Office XP) > http://office.microsoft.com/korea/Downloads/2002/oxpsp2.aspx  

※ 상세 설명

비주얼 베이직을 코딩되어 있으며, 부정확한 MIME 헤더를 이용하여 E-mail첨부파일을 실행하도록 야기하는 보안 버그를 이용한 웜으로 *.htm 파일과 *.dbx 파일에서 추출한 이메일을 통해 전파되며, 감염된 사용자의 프로세스 리스트를 동봉하고, W32/Funlove4099바이러스를 포함하고 있다는 것이 특징이다. 감염된 메일의 본문은 다음과 같다. Hello, Product Name: 감염된 윈도우 버전 Product Id: <삭제처리> Product Key: <삭제처리> Process List: <바이러스를 보낸 시스템의 프로세스 리스트> Thank you. 바이러스가 실행 되면 W32/Funlove.4099 바이러스도 감염작용을 일으켜 윈도우의 시스템 폴더에 bride.exe 파일과, regedit.exe파일을 생성한다. 특히bride.exe파일은 기존 funlove 바이러스가 생성하는 FLCSS.exe와 이름만 다를뿐 거의 비슷한 파일이므로, 기존의 터보백신으로도 진단, 삭제 가 가능 하다. 또한 바탕화면에 익스플로러 아이콘으로 위장한 Explorer.exe파일과 Help.eml파일을 생성하는데, 윈도우 탐색기의 미리 보기 기능으로도 실행 되므로 주의해야 한다. 그리고 다음과 같이 레지스트리를 변경하여, 부팅시마다 실행되도록 조작한 다. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 항목에 Win9x 인 경우 : regedit : C:\Windows\system\regedit.exe 시스템에 따라서 생성되지 않을 수 있다. WinNT 인 경우 : regedit = C:\Winnt\system32\regedit.exe Windows 2000, NT, Xp 의 NT 계열 에서는 Bride.exe 파일을 정상적으로 생성시키지 못하고 다음과 같은 오류 메시지를 뿌린다. '70' 런타임 오류가 발생 하였습니다.: 사용 권한이 없습니다. 그러나 Explorer.exe 파일과 Help.eml 파일, Regedit.exe 등 감염 파일은 정상적으로 생성되므로 주의해야 한다. Win9x의 경우 msconfig.exe 파일이 funlove 바이러스로 인해서 복구가 불가 능 할 정도로 손상을 입으므로 해당 파일을 정상적인 파일로 교체해야 한 다. 또한 Win9x 버전을 사용하는 사용자는 치료를 안하고 재 부팅을 하는 경우 부팅이 정상적으로 이루어지지 않으며, 안전 모드에서도 부팅이 이루어지지 않을 수 있으므로 반드시 백신으로 치료후 부팅을 해야 한다. 감염파일이 실행되어 해당 프로세스를 정지시키려는 응용프로그램을 강제 종료 시키는 특징을 가지고 있어 주의가 요구 된다.

※ 예방 및 수동 조치 방법

• 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
• 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요