2024 정부지원사업 랜섬웨어 대응/예방 정부 지원 사업 -
도입 기회를 놓치지 마세요!!
자세히 보기
- 바이러스 정보
- 터보백신에서 분석한 바이러스 위협 정보, 보안 통계를 확인할 수 있습니다.
- 이름
- W32/Chir.B@mm
- 바이러스 종류
- Worm
- 실행환경
- Win9x, Win2000, NT, XP
- 증상요약
- null
- 위험등급
- null
- 확산방법
- null
- 치료방법
- 터보백신 2001 또는 터보백신 Online으로 치료가능합
니다.
치료후 다음의 패치를 적용하시기 바랍니다.
패치방법 :
- 인터넷 익스플로러는 부정확한 MIME 헤더는 첨부파
일을 열기만 해도 실행
하도록 하는 문제가 있는데, 아래 주소에서 패치를 받
아 적용시키면 이를
막을 수 있습니다.
http://www.microsoft.com/technet/treeview/default.
asp?
url=/technet/security/bulletin/MS01-020.asp
- ※ 상세 설명
- 중국에서 만들어진 바이러스로 추정되며 자체 SMTP를
이용해
바이러스 메일을 발송하여 보안 패치가 안된 아웃
룩을 통해
감염이 이루어 진다.
웜이 실행 되면 우선 시스템 폴더(Win9x :
C:\windows\system,
Win2000, NT, XP : C:\Winnt\system32)에 Runouce.exe
(10,748Byte)를
생성한다.(단, Runonce.exe 파일은 정상 파일)
다음으로
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr
entVersion\
Run 항목에 다음과 같은 값을 추가 한다.
Win9x 인경우 - Runonce
C:\Windows\System\Runouce.exe
Win2000, NT, XP 인경우 - Runonce C:\Winnt\System32
\Runouce.exe
또한 감염시킨 .htm 또는 .html 확장자를 가진 파일
에
W32/Nimda.57344.B@mm 같이 웜을 실행하는 코드를 삽
입하여 이 파일을 읽어
들일때 감염작용을 일으키도록 한다.
감염된 컴퓨터는 매달 1일에 읽기/쓰기 가능한 공유
폴더내의 .doc, .xls,
.adc, r.db 확장자를 가진 파일의 처음 헤더부분을
4660Byte 덮어쓰기
때문에 파일을 손상 시켜 복구 할 수 없도록 만든다.
- ※ 예방 및 수동 조치 방법
-
- 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
- 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요