이름

W32/Klez.H@mm

바이러스 종류

Worm

실행환경

Win9x, Win2000, NT, XP

증상요약

null

위험등급

null

확산방법

null

치료방법

최신 업데이트가 되지 않은 터보백신 2001이나 터보백 신 Ai로 바이러스 진단시 W32/Klez.H@mm 에 의해 백신 진단이 불가능 해 질 수 있다. 이럴 경우에는 먼저 홈페이지에 접속하여 터보백신 Online으로 진단 치료를 선행 한 후에 터보백신 2001과 터보백신 Ai를 재 설치 해야 한다.  

※ 상세 설명

인터넷 익스플로러의 보안패치가 되지 않는 경우 아웃 룩의 미리 보기만으로 첨부 파일이 실행 되어 바이러 스에 감염된다. 일단 감염이 되면 네트워크상의 읽기, 쓰기가 가능한 공유드라이브나 폴더에 자신을 복사하고, 자체메일 발 송기능을 통하여 windows의 주소록 을 뒤져 감염된 메일을 보내게 된다. 그런다음 윈도우의 시스템 폴더에 WINKxxx.EXE형식의 파일과xxx(임의의 숫자1개-3개).exe(예 : khi70.exe) 로 임의로 조합된 파일을 생성한다. 이 파일은 터보백신에서 Trojan-W32/Elkern.10240로 진단한다. 부팅시 자신을 실행하기 위해 다음과 같이 레지스트리 를 수정한다. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\ run Winkxxx(이름) = WINKxxx.EXE(데이타) (xxx 랜덤 한 2~3자리 영문자) 메일로 발송 될 경우 메일 제목은 일정치 않으나 대 체로 Undeliverable mail --(임의문자), Returned mail--(임의문자) 등의 이름으로 배달되기도 한다. 웜이 실행되면 대부분의 외산 백신의 프로세스를 감지 하여 강제 종료 시키는데 국내 백신또한 바이러스 검사시 웜에 의해 강제 종료 당하는 현상이 발생 하였다. 현재 이와 같은 상황은 생성된 Winkxxx.exe가 아래의 목록과 같이 주요 백신의 프로세스 문자열을 인식하 여 해당 프로세스를 강제 종료 시키며 파일 자체를 삭제 하는 기능을 포함하고 있기 때문이 다. _AVP32_AVPCC NOD32 NPSSVC NRESQ32 NSCHED32 NSCHEDNT NSPLUGIN NAV NAVAPSVC NAVAPW32 NAVLU32 NAVRUNR NAVW32 _AVPM ALERTSVC AMON AVP32 AVPCC AVPM N32SCANW NAVWNT ANTIVIR AVPUPD AVGCTRL AVWIN95 SCAN32 VSHWIN32 F-STOPW F-PROT95 ACKWIN32 VETTRAY VET95 SWEEP95 PCCWIN98 IOMON98 AVPTC AVE32 AVCONSOL FP-WIN DVP95 F-AGNT95 CLAW95 NVC95 SCAN VIRUS LOCKDOWN2000 Norton Mcafee Antivir TASKMGR 또한 이 바이러스는 정상 파일에 감염이 이루어지면 (원래파일이름).xxx로 정상 실행파일의 확장자를 랜덤하게 변경하여 숨김속성으로 보관한다. 다음으로 (원래파일이름).exe의 가짜 실행 파일을 만 들어 놓은 다음 해당 프로그램 실행시 (원래파일이 름).xxx를 참조하여 (원래 파일이름)xxx.exe를 만들어 서 파일을 실행 하게 된다. 그러므로 정상파일이 감염되어 (원래파일이름).xxx를 삭제 하면 프로그램이 실행 되지 않는 현상이 발생 하 므로 반드시 터보 백신을 통하여 원래의 파일로 복구 해야 한다.

※ 예방 및 수동 조치 방법

• 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
• 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요