이름

VBS/Redlof@mm

바이러스 종류

Script Virus

실행환경

Win9x, Win2000, NT

증상요약

null

위험등급

null

확산방법

null

치료방법

터보백신 Ai, 터보백신 2001 또는 터보백신 Online으로 치료가능합니다. 치료후 http://www.microsoft.com/technet/treeview/default.asp? url=/technet/security/bulletin/MS00-075.asp 를 통하여 가상머신의 보안 패치를 받도록 한다.  

※ 상세 설명

비주얼 베이직으로 만들어 졌으며 첨부파일이 없는 메일을 통해 전파된다. C:\Program Files\Common Files\Microsoft Shared\Stationery 폴더에 blank.htm 바이러스 파일을 생성 하여, 이를 이용한 메일의 HTML코드를 통해 Microsoft VM ActiveX component vulnerability 의 취약성을 이용하 여 자동으로 .html, .htm, .asp, .php, .jsp, and .vbs 파일을 감염시킨다. 바이러스가 실행 되면 감염시 시스템 폴더(Win9x : C:\windows\system, Win2000, NT, XP : C:\Winnt\system32)에 에 kernel.dll또는 Kernel32.dll를 생성 하게 되는데 이는 윈도우 폴더에 WSCRIP.exe파일의 존재 여부에 따라 선택 되어 진다. 다음으로 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Run 항목에 Kernel32를 생성하고 다음과 같은 값을 추가 한다. c:\window\SYSTEM\Kernel32.dll 또는 c:\window\SYSTEM\Kernel.dll 또한 다음의 레지스트리 값을 설정한다. HKEY_CLASSES_ROOT\.dll\ (기본값) dllfile Content Type application/x-msdownload 로 셋팅(대부분 시스템의 디폴트 값) HKEY_CLASSES_ROOT\dllfile\ DefaultIcon 을 HKEY_CLASSES_ROOT\vxdfile\DefaultIcon 값으로 변경 ScriptEngine 을 VBScript로 변경 ShellEx\PropertySheetHandlers\WSHProps\ {60254CA5-953B-11CF-8C96- 00AA00B8708C}로 설정 ScriptHostEncode 을 {85131631-480C-11D2-B1F9-00C04F86C324} 로 설정 HKEY_CLASSES_ROOT\dllFile\Shell\Open\Command\ WScript.exe 파일이 존재하는 경우 (기본값) c:\Windows\WScript.exe "%1" %* 없는 경우 (기본값) c:\Windows\system32\WScript.exe "%1" %* 값 변경

※ 예방 및 수동 조치 방법

• 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
• 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요