이름

Worm-W32/SystemEntry

바이러스 종류

Worm

실행환경

Win9x, Win2000, NT

증상요약

null

위험등급

null

확산방법

null

치료방법

터보백신 Ai, 터보백신 2001 또는 터보백신 Online으 로 치료가능합니다. (주의) * 치료시 마우스 포인터가 안보이는 경우라면 안전 모 드로 부팅하면 마우스 포인터가 보이므로 안전 모드 로 부팅한 후에 치료하도록 한다. * 터보백신으로 치료후 다음과 같은 폴더를 확인해 보 도 록 한다. win9x의 경우 : c:\windows\Download Program Files winNT의 경우 : c:\winnt\Download Program Files 해당 폴더에서 OKserverX Control이 존재 하면 해당 파일을 오른쪽 마우스 클릭을 통해 "제거" 를 선택하여 삭제 하도록 한다. * Win9x 사용자의 경우 만약 마우스 포인터가 나타나 지 않거나 해상도가 낮아졌다면 다음과 같은 방법으 로 복구하도록 한다. 1. 시스템을 재부팅한다. 2. 재부팅시 "Starting Windows ..." 라는 메시지가 나타날때 'F8' 키를 누른다. 3. "Command Prompt Only"를 선택하여 부팅한다. 4. scanreg /restore[Enter] 를 실행하여 바이러스 감 염이전 날짜의 레지스트리로 복원한다.  

※ 상세 설명

대표적인 증상으로 홈페이지의 시작 주소가 변경되 며, win9x 일부 시스템에서는 마우스 포인터가 사라지는 현상이 발생 하였다. 이 바이러스는 광고메일성 배너에 링크 되어 있으며, 해당 배너를 클릭 하면 인증을 확인 할 수 없는 보안 경고창과 함 께, 윈도우 폴더(윈도우의 시스템 폴더(win9x : c:\windows\, Win2000 : C:\Winnt\) 에 systementry.exe 파일을 생성한다. 이 때 다음과 같은 폴더에 OKserverX Control.ocx 를 설치하여 해당 파일을 다운로드 받게 된다. win9x의 경우 : c:\windows\Download Program Files winNT의 경우 : c:\winnt\Download Program Files 이 파일이 실행 되면 특정 서버에 접속하여 systemadv.exe파일을 윈도우의 시스템 폴더(윈도우의 시스템 폴더(win9x : c:\windows\system, Win2000 : C:\Winnt\system32) 로 다운로드 받아 오게 된다. 또한 window32.exe 와 windows32.ini 파일이 윈도우 폴더에 숨김속성으로 생성되며 c:\windows\system32 폴더에 winbooter.exe 파일이 숨김 속성으로 생성된다. 그런후 다음과 같이 부팅시 실행을 위해 레지스트리 를 조작한다. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run 항목에 Win9x 인 경우 : SYSTEMENTRY = C:\WINDOWS\systementry.exe WinNT 인 경우 : SYSTEMENTRY = C:\Winnt\systementry.exe HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run 항목에 Win9x 인 경우 : WINTASK = C:\WINDOWS\window32.exe WinNT 인 경우 : WINTASK = C:\Winnt\window32.exe

※ 예방 및 수동 조치 방법

• 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
• 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요