바이러스 DB - 터보백신

※ 상세 설명: Backdoor-W32/Opasoft.28675의 변형이며 기본적으로 같은 증상을 보이나 생성하는 파일이 다르다. 쓰기 공유로 설정되 있는 폴더나 드라이브등 네트워 크 를 통해 감염이 되며 감염되는 컴퓨터의 IP는 웜에 의 해서 결정된 범위에 서 대상을 선택 한다. 이 과정은 지속적으로 이루어지기 때문에 네트웍을 통 한 작업시 시스템 성능이 저하되는 현상이 발생 할 수 있다. 또한 TCP/IP 통신 프로토콜을 이용하여 특정 웹서버 로 접속을 시도하는데 현재 해당 서버는 서비스가 중 지 되어 접속 되지 않는다. 감염이 되면 윈도우 폴더(Win9x- c:\windows,Win2000 - c:\Winnt)에 Brasil.exe 또는 Brasil.pif를 복사한 다. 다음으로 Win.ini의 run 항목을 다음과 같이 수정하 여 다음 부팅시 웜을 실행 하도록 한다. C:\WINDOWS\SCRSVR.EXEc:\windows\Brasil.exe 또는 C:\WINDOWS\SCRSVR.EXEc:\windows\Brasil.pif 또한 레지스트리 항목에 다음의 값을 추가하여 부팅 시 웜을 실행 하도록 한다. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\run 항목에 Win9x 인 경우 : Brasil = C:\WINDOWS\Brasil.exe WinNT 인 경우 : Brasil = C:\Winnt\Brasil.exe 또는 Win9x 인 경우 : Brasil = C:\WINDOWS\Brasil.pif WinNT 인 경우 : Brasil = C:\Winnt\Brasil.pif 그리고 C:\ 에 Put.ini를 생성하는데 이는 윈도우의 Win.ini와 같은 파일이다.

※ 예방 및 수동 조치 방법: 1. Win.ini의 run 항목을 삭제 한다. 2. [시작]->[실행]에서 "regedit"를 실행 시킨다음 아 래의 값을 삭제 한다. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\run 항목의 Brasil = C:\WINDOWS\Brasil.exe 또는 Brasil = C:\Windows\Brasil.pif 3. 시스템을 재부팅 후 아래의 파일을 삭제 한다. Win9x 인 경우 : Brasil = C:\WINDOWS\Brasil.exe WinNT 인 경우 : Brasil = C:\Winnt\Brasil.exe 또는 Win9x 인 경우 : Brasil = C:\WINDOWS\Brasil.pif WinNT 인 경우 : Brasil = C:\Winnt\Brasil.pif

터보백신 개인용 TurboVaccine Introduce