2024 정부지원사업 랜섬웨어 대응/예방 정부 지원 사업 -
도입 기회를 놓치지 마세요!!
자세히 보기
- 바이러스 정보
- 터보백신에서 분석한 바이러스 위협 정보, 보안 통계를 확인할 수 있습니다.
- 이름
- W32/WinCEO@mm
- 바이러스 종류
- Worm
- 실행환경
- Win9x, Win2000, NT
- 증상요약
- null
- 위험등급
- null
- 확산방법
- null
- 치료방법
- 터보백신 Ai, 터보백신 2001 또는 터보백신 Online으로 치료가능 하다.<br><br>
부정확한 MIME 헤더를 이용하여 E-mail첨부파일을 실행하도록 야기하는 보안 버그와 첨부되는 HTML 파일은 Microsoft VM ActiveX Component의 허점을 이용 하므로 메일을 클릭 하는 것만으로 감염될 수 있다.<br><br>
이 버그를 수정하기 위해서 아래 사이트에서 패치를 받아 적용하기 바란다.<br><br>
< Outlook Express ><br>
- <a
href="http://www.microsoft.com/windows/ie/downloads/critical/q323759ie/default.asp"><font
color="blue">http://www.microsoft.com/windows/ie/downloads/critical/q323759ie/default.asp</font></a><br><br>
< Outlook 2000 ><br>
- <a
href="http://office.microsoft.com/korea/downloads/2000/Out2ksec.aspx"><font
color="blue">http://office.microsoft.com/korea/downloads/2000/Out2ksec.aspx</font></a><br><br>
< Outlook 2002(Office XP) ><br>
- <a
href="http://office.microsoft.com/korea/Downloads/2002/oxpsp2.aspx"><f
ont color="blue">http://office.microsoft.com/korea/Downloads/2002/oxpsp2.aspx</font></a>
- ※ 상세 설명
- 다른 이름: Win32/Winevar.Worm(안철수 연구소)
감염된 이메일의 첨부 파일을 통해 전파 된다.
부정확한 MIME 헤더를 이용하여 E-mail첨부파일을 실
행하도록 야기하는 보
안 버그와 첨부되는 HTML 파일은 Microsoft VM
ActiveX Component의 허점
을 이용 하므로 메일을 클릭 하는 것만으로 감염될
수 있다.
이 HTML 파일에는 CEO 파일을 실행할수 있게 아래의
내용이 레지스트리에
추가 된다.
HKEY_CLASSES_ROOT\.ceo 항목에 기본값(default) 이
exefile 이고,
Content Type 이 "application/x-msdownload 와 같이
된다.
웜이 실행 되면 윈도우의 시스템 폴더(win9x :
c:\windows\system,
Win2000 : C:\Winnt\system32)
에 WINxxxx(xxxx : 시스템에 따른 랜덤 숫자) 파일이
생성되고, 레지스트리
에 아래와 같이 등록하여 재부팅시 실행되며 무작위
로 파일을 삭제하게 된
다.
(실행중이거나 읽기 속성이 있는 파일은 삭제가 되지
않는다.)
또 WINxxxx.tmp 라는 파일도 생성되는데 이것은
W32/FunLove.4099 로 진단
이 되며, ~AAVAR 2002 in Seoul~ 와 같은 문자열을 포
함하고 있다.
HEKY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr
entVersion\run
항목에 WINxxxx 등록.
다음과 같은 메시지 박스가 나타나며, 확인 버튼을 클
릭 하면 c:드라이브의
파일을 삭제 하게 된다.
Make a fool of oneself <- (메시지 박스 캡션)
What a foolish thing you have done!"
또한, 주요 백신 및 파이어월, 모니터 프로그래밍, 시
스템 디버그등의 프로
그램 실행을 중단 시키며, 실패할 경우 컴퓨터가 다운
되는 등의 증상을 나
타낸다.
* AVAR은,"Association of anti Virus Asia
Researchers"의 약자로 아시아 컴퓨터바이러스
연구 모임이며, 이 웜과는 전혀 관련이 없다.
- ※ 예방 및 수동 조치 방법
-
- 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
- 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요
