2024 정부지원사업 랜섬웨어 대응/예방 정부 지원 사업 - 도입 기회를 놓치지 마세요!!자세히 보기
  • 바이러스 정보
  • 터보백신에서 분석한 바이러스 위협 정보, 보안 통계를 확인할 수 있습니다.
이름
W32/Nimda.57344.B@mm
바이러스 종류
Worm
실행환경
Win9x, Win2000
증상요약
null
위험등급
null
확산방법
null
치료방법
- 터보백신 또는 터보백신 Online으로 치료 가능하다.(터보백신으로 치료 한 경우라면 아래 * 내용은 하실 필요 없지만 한번 점검해 보시기 바란다.)<br><br> * 윈9x 계열에 감염된 경우에는 윈도우즈 폴더에 있는 system.ini 파일에서 shell=explorer.exe load.exe -dontrunold 부분을 shell=explorer.exe 로 바꾼다.<br><br> - IIS 사용자의 경우 반드시 IIS 를 종료 하시고, 패치하신 후에 치료하시 기 바란다.<br><br> - riched20.dll 이 웜에 의해서 겹쳐 써진 경우라면 치료후에 riched20.dll 파일을 윈도우즈 시스템 폴더(윈9x: \Windows\System, WinNT/2000: \WinNT\System32) 에 복사해 주시기 바란다. (riched20.dll 파 일이 겹쳐써진 경우 경우 오피스 프로그램 등의 실행시에 오류가 발생할 수 있다.)<br><br> 패치방법 :<br><br> - 인터넷 익스플로어는 부정확한 MIME 헤더는 첨부파일을 열기만 해도 실행 하도록 하는 문제가 있는데, 아래 주소에서 패치를 받아 적용시키면 이를 막을 수 있다.<br><br> <a href="http://www.microsoft.com/technet/treeview/default.asp? url=/technet/security/bulletin/MS01-020.asp"><font color="blue">http://www.microsoft.com/technet/treeview/default.asp? url=/technet/security/bulletin/MS01-020.asp</font></a><br><br> - 윈도우즈 서버상에서 IIS 를 실행하는 사용자라면 반드시 아래 주소에서 Web Server Folder Traversal 보안 패치를 받아서 적용하기 바란 다.<br><br> <a href="http://www.microsoft.com/technet/treeview/default.asp? url=/technet/security/bulletin/MS01-044.asp"><font color="blue">http://www.microsoft.com/technet/treeview/default.asp? url=/technet/security/bulletin/MS01-044.asp</font></a> 상세설명  진단/치료방법
※ 상세 설명
10월 29일에 국내에 처음으로 신고되었으며, 외국에서 아직 발견 사례가 보고되지 않은 점으로 미루어 국내에서 변형된 바이러스로 추정되지만 아직 까지는 확실치 않다. 지금까지의 피해신고 상황으로 미루어 지난번 "님다" (W32/Nimda@mm) 바이러스와 비슷한 속도로 확산되고 있는 것으로 보인다. "님다" 와 같이 자체적으로 메일을 발송하는 기능외에 e-메일을 열기만 해도 감염되며, W32/FunLove 와 같이 공유폴더를 통해서 감염시킬 수 있고 Worm/CodeBlue 가 사용했던 IIS Web Directory Traversal exploit 을 이용 하기 때문에 PC는 물론 서버에도 감염이 되어 급속히 확산되고 있는 것으로 보인 다. e-메일을 열기만 해도 감염이 되므로 확산속도가 매우 빠르며, 무의미한 문자의 긴 조합으로 구성된 제목의 메일을 받았다면 열지 않도록 주의를 요한다. "sample.exe" 로 첨부된 파일은 바이러스 자체이므로 삭제가 곧 치료이며, 일부 실행파일은 감염되기도 하며 치료 또한 가능하다. 주요 증상으로는 다른 PC의 공유 폴더에 있는 파일들을 감염시키는데, .exe 파일들은 감염되고 .eml 과 .nws 파일들은 바이러스에 의해서 교체된 다. 웜은 .htm .html 에서 e-메일 주소를 검색하여 sample.exe 파일을 첨부한 감염된 메일을 발송하므로 시스템을 성능을 저하시키며, 이로 인해 시스템 이 다운되기도 한다. 이외에 .htm, .html, .asp 파일 뒷 부분에 웜을 실행하는 코드를 삽입하기 도 한다. 주요 증상은 원형인 W32/Nimda@mm 와 비슷하며, 단지 문자열과 생성되는 파일명을 변형한 정도이다. 내부에는 아래와 같은 문자열이 존재한다. "Concept Virus(CV) V.6, Copyright(C)2001, (This''''s CV, No Nimda.)"
※ 예방 및 수동 조치 방법
  • 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
  • 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요
이전글
Exploit-JS/Messanger
다음글
W95/Sexy