이름

W32/PiBi.B@mm

바이러스 종류

Worm

실행환경

Win9x, Win2000, NT

증상요약

null

위험등급

null

확산방법

null

치료방법

터보백신 Ai, 터보백신 2001 또는 터보백신 Online으 로 치료가능합니다. < Outlook Express > - http://www.microsoft.com/windows/ie/downloads/crit ical/q323759ie/defau lt.asp < Outlook 2000 > - http://office.microsoft.com/korea/downloads/2000/O ut2ksec.aspx < Outlook 2002(Office XP) > - http://office.microsoft.com/korea/Downloads/2002/o xpsp2.aspx  

※ 상세 설명

W32/Pibi@mm의 변형으로 감염된 이메일의 첨부 파일 과, KazaA, IRC를 통해 전파 된다. 마이크로 소프트 비주얼 C++로 코딩되어 있으며, UPX 압축프로그램으로 압축되 있다. 부정확한 MIME 헤더를 이용하여 E-mail첨부파일을 실 행하도록 야기하는 보안 버그를 이용하므로 메일을 클 릭 하는 것만으로 감염될 수 있다. 메일 본문은 다음과 같다. Istall the program in the attachment. 파일이 실행되면 윈도우의 시스템 폴더(win9x : c:\windows\system, Win2000 : c:\Winnt\system32)에 WSYXXX.exe를 생성한다.(XXX : 랜덤한 숫자) HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run 항목에 Win9x 인 경우 : Kernel32.dll module = c:\windows\system\WSYSXXX.EXE Win2000 인경우: Kernel32.dll module = c:\winnt\system32\WSYSXXX.EXE (XXX : 랜덤한 숫자) HKEY_LOCAL_MACHINEN\Software\PieceByPieceB\inf 항목에 yep 또한 C:\ 루트에 boot64.bin을 생성 하기도 하는데 이 파일은 base64로 압 축되어 있는 바이러스 본체 파일로 감염된 메일을 보 낼때 사용한다. 첨부된 파일을 실행 하면 다음과 같은 에러 메시지를 띄우며, 실행할수 없 는 것처럼 위장한다. Error! This process will be terminated. 10월 18일에 다음과 같은 메시지 창을 띄운다. "Sucking back a cigarette Thinking about new regrets Trying to be someone you'd like to be Passing faces on the road Where the hell can we still go? Leaves us open to temptation..." -Feeder 또한 다음 문자열을 가진 특정 안티 바이러스의 프로 세스를 중지시키는 기 능을 가지고 있는 것으로 보인다. AV F- av NOD32 SCAN MON ALERT ANTIVIR PCCW PCC FP- TRAP TDS2- VET SWEEP MCAFEE FIREW DVP CFI ICL VSHW

※ 예방 및 수동 조치 방법

• 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
• 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요