2024 정부지원사업 랜섬웨어 대응/예방 정부 지원 사업 -
도입 기회를 놓치지 마세요!!
자세히 보기
- 바이러스 정보
- 터보백신에서 분석한 바이러스 위협 정보, 보안 통계를 확인할 수 있습니다.
- 이름
- W32/Nimda.57344.B@mm
- 바이러스 종류
- Worm
- 실행환경
- Win9x, Win2000
- 증상요약
- null
- 위험등급
- null
- 확산방법
- null
- 치료방법
- - 터보백신 또는 터보백신 Online으로 치료 가능하다.(터보백신으로 치료
한 경우라면 아래 * 내용은 하실 필요 없지만 한번
점검해 보시기 바란다.)<br><br>
* 윈9x 계열에 감염된 경우에는 윈도우즈 폴더에 있는 system.ini 파일에서
shell=explorer.exe load.exe -dontrunold 부분을 shell=explorer.exe 로
바꾼다.<br><br>
- IIS 사용자의 경우 반드시 IIS 를 종료 하시고, 패치하신 후에 치료하시
기 바란다.<br><br>
- riched20.dll 이 웜에 의해서 겹쳐 써진 경우라면 치료후에
riched20.dll 파일을 윈도우즈 시스템 폴더(윈9x: \Windows\System,
WinNT/2000: \WinNT\System32) 에 복사해 주시기 바란다. (riched20.dll 파
일이 겹쳐써진 경우 경우 오피스 프로그램 등의 실행시에 오류가 발생할
수 있다.)<br><br>
패치방법 :<br><br>
- 인터넷 익스플로어는 부정확한 MIME 헤더는 첨부파일을 열기만 해도 실행
하도록 하는 문제가 있는데, 아래 주소에서 패치를 받아 적용시키면 이를
막을 수 있다.<br><br>
<a href="http://www.microsoft.com/technet/treeview/default.asp?
url=/technet/security/bulletin/MS01-020.asp"><font
color="blue">http://www.microsoft.com/technet/treeview/default.asp?
url=/technet/security/bulletin/MS01-020.asp</font></a><br><br>
- 윈도우즈 서버상에서 IIS 를 실행하는 사용자라면 반드시 아래 주소에서
Web Server Folder Traversal 보안 패치를 받아서 적용하기 바란
다.<br><br>
<a href="http://www.microsoft.com/technet/treeview/default.asp?
url=/technet/security/bulletin/MS01-044.asp"><font
color="blue">http://www.microsoft.com/technet/treeview/default.asp?
url=/technet/security/bulletin/MS01-044.asp</font></a>
- ※ 상세 설명
- 10월 29일에 국내에 처음으로 신고되었으며, 외국에서 아직 발견 사례가
보고되지 않은 점으로 미루어 국내에서 변형된 바이러스로 추정되지만 아직
까지는 확실치 않다.
지금까지의 피해신고 상황으로 미루어 지난번 "님다" (W32/Nimda@mm)
바이러스와 비슷한 속도로 확산되고 있는 것으로 보인다.
"님다" 와 같이 자체적으로 메일을 발송하는 기능외에 e-메일을 열기만
해도 감염되며, W32/FunLove 와 같이 공유폴더를 통해서 감염시킬 수 있고
Worm/CodeBlue 가 사용했던 IIS Web Directory Traversal exploit 을 이용
하기
때문에 PC는 물론 서버에도 감염이 되어 급속히 확산되고 있는 것으로 보인
다.
e-메일을 열기만 해도 감염이 되므로 확산속도가 매우 빠르며, 무의미한
문자의 긴 조합으로 구성된 제목의 메일을 받았다면 열지 않도록 주의를
요한다.
"sample.exe" 로 첨부된 파일은 바이러스 자체이므로 삭제가 곧 치료이며,
일부 실행파일은 감염되기도 하며 치료 또한 가능하다.
주요 증상으로는 다른 PC의 공유 폴더에 있는 파일들을 감염시키는데,
.exe 파일들은 감염되고 .eml 과 .nws 파일들은 바이러스에 의해서 교체된
다.
웜은 .htm .html 에서 e-메일 주소를 검색하여 sample.exe 파일을 첨부한
감염된 메일을 발송하므로 시스템을 성능을 저하시키며, 이로 인해 시스템
이
다운되기도 한다.
이외에 .htm, .html, .asp 파일 뒷 부분에 웜을 실행하는 코드를 삽입하기
도
한다.
주요 증상은 원형인 W32/Nimda@mm 와 비슷하며, 단지 문자열과 생성되는
파일명을 변형한 정도이다.
내부에는 아래와 같은 문자열이 존재한다.
"Concept Virus(CV) V.6, Copyright(C)2001, (This''''s CV, No Nimda.)"
- ※ 예방 및 수동 조치 방법
-
- 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
- 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요