2024 정부지원사업 랜섬웨어 대응/예방 정부 지원 사업 -
도입 기회를 놓치지 마세요!!
자세히 보기
- 바이러스 정보
- 터보백신에서 분석한 바이러스 위협 정보, 보안 통계를 확인할 수 있습니다.
- 이름
- W32/PiBi@mm
- 바이러스 종류
- Worm
- 실행환경
- Win9x, Win2000, NT
- 증상요약
- null
- 위험등급
- null
- 확산방법
- null
- 치료방법
- 터보백신 Ai, 터보백신 2001 또는 터보백신 Online으
로 치료가능합니다.<br><br>
부정확한 MIME 헤더를 이용하여 E-mail첨부파일을 실행하도록 야기하는 보
안 버그와 첨부되는 HTML 파일은 Microsoft VM ActiveX Component의 허점
을 이용 하므로 메일을 클릭 하는 것만으로 감염될 수 있다.<br><br>
이 버그를 수정하기 위해서 아래 사이트에서 패치를 받아 적용하기 바란
다.<br><br>
< Outlook Express ><br>
- <a
href="http://www.microsoft.com/windows/ie/downloads/critical/q323759ie
/default.asp"><font
color="blue">http://www.microsoft.com/windows/ie/downloads/critical/q3
23759ie/default.asp</font></a><br><br>
< Outlook 2000 ><br>
- <a
href="http://office.microsoft.com/korea/downloads/2000/Out2ksec.aspx"
><font
color="blue">http://office.microsoft.com/korea/downloads/2000/Out2ksec
.aspx</font></a><br><br>
< Outlook 2002(Office XP) ><br>
- <a
href="http://office.microsoft.com/korea/Downloads/2002/oxpsp2.aspx"><f
ont
color="blue">http://office.microsoft.com/korea/Downloads/2002/oxpsp2.a
spx</font></a>
- ※ 상세 설명
- 감염된 이메일의 첨부 파일과, KazaA, IRC를 통해 전
파 된다.
마이크로 소프트 비주얼 C++로 코딩되어 있으며, UPX
압축프로그램으로 압축
되 있다.
부정확한 MIME 헤더를 이용하여 E-mail첨부파일을 실
행하도록 야기하는 보
안 버그를 이용 하므로 메일을 클릭 하는 것만으로 감
염될 수 있다.
메일 본문은 다음과 같다.
You will find all you need in the attachment.
파일이 실행되면 윈도우의 시스템 폴더(win9x :
c:\windows\system,
Win2000 : c:\Winnt\system32)에 winsysXXX.exe파일
과 win32sysXXX.zip파일
을 생성한다.(XXX : 랜덤한 숫자)
또한 다음과 같이 레지스트리를 조작한다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre
ntVersion\Run
항목에
Win9x 인 경우 : Windows task32 sys =
c:\windows\system\winsysXXX.exe
Win2000 인경우: Windows task32 sys =
c:\winnt\system32\winsysXXX.exe
(XXX : 랜덤한 숫자)
HKEY_LOCAL_MACHINE\Software\RedCell
항목을 생성
infected = yes
KaZaA를 통한 감염파일은 아래의 이름을 랜덤하게 선
택하여 전파된다.
icq2002.exe
wincrack.exe
winamp3.exe
mirc6.exe
또한 IRC 프로그램을 사용한다면 해당 디렉토리에
SCRIPT.INI 파일을 생성
하게 되는데, 이파일엔 win32sysXXX.zip을 전송하는
스크립트가 포함되 있
다.
첨부된 파일을 실행 한후 다음과 같은 에러 메시지를
띄우며, 실행할수 없
는 것처럼 위장한다.
This program has performed an illegal operation
9월 15일에 다음과 같은 메시지 창을 띄운다.
"Cause nothing ever lasts forever
We''''re like flowers in this vase, together
You and me, it''''s pulling me down
Tearing my down, piece by piece
And you can''''t see
That''''s it''''s like a disease
Killing me now, it''''s so hard to breathe"
-Feeder <Piece by Piece>
또한 특정 안티 바이러스 프로세스를 정지 시키는 기
능을 가지고 있는 것으
로 보인다.
- ※ 예방 및 수동 조치 방법
-
- 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
- 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요
