이름

W32/Updater.12288@mm

바이러스 종류

Worm

실행환경

Win9x, Win2000

증상요약

null

위험등급

null

확산방법

null

치료방법

터보백신 제품군으로 치료 가능  

※ 상세 설명

메일 제목 : 1. "Have you ", "You Should ", "Just ", "Why Not you ", "How to", "Re:", "Fwd:" 2. "Check ", "Check out", "Watch out ", "Open ", "Look at " 3. "this ", "my ", "For ", "The ", "Subject ", "Picture ", "Program " 4. "Patch", "Nude ", "Report", "Documment", "Quotation", "Transaction" , "Bank Account", "WTC Tragedy", "Osama Vs Bush", "Account", "Private Pic" 위의 4가지 경우가 조합을 하여 제목을 생성한다. "Setup.EXE" "install.exe" "Readme.exe" "Files.exe" "Picture.exe" "Quotation.Doc.exe" "Letter.Doc.exe" "Picture.jpg.exe" 첨부 파일도 위의 4가지 중 한가지가 12288바이트 크기로 랜덤하게 결정된 다. 웜이 실행되면 다음과 같은 오류 메세지 박스가 나타나며, "UPDATE.VBS"파 일을 생성시키게 된다. "File Open Error", "Cannot Open files : It does not appear to be a valid archive If you Downloaded this file, try downloading the file again." 또한 다음과 같은 레지스트리에 등록 되어 매달 12일에 확장자가 DOC,EXE",TXT 파일을 검색하여 원본 파일명 뒤에 .vbs를 붙여서 이중 확장 자의 스크립트 파일을 생성시킨다. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\run\Updat e=C:\WINDOWS\Update.exe 그런다음 C 드라이브의 이름을 "IMELDA"로 변경한다.

※ 예방 및 수동 조치 방법

• 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
• 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요