이름

W32/Blebla.B@mm

바이러스 종류

Worm

실행환경

Windows

증상요약

null

위험등급

null

확산방법

null

치료방법

www.everyzone.com 에서 전용백신을 내려 받아 치료 가능하며 W32/Blebla.B@mm 관련 파일은 터보백신 Ai, 터보백신 2001 최신 버전, 터보백신 Online으로 삭제 가능하다.  

※ 상세 설명

보통 로미오와 줄리엣 변종 바이러스로 불리며, 터보백신에서는 W32/Blebla.B@mm로 검색 된다. W32/Blebla.B@mm는 감염된 사용자의 Microsoft Outlook 주소록에 등록된 모든 계정에 바이러스 파일을 첨부한 메일을 전송하는 방법으로 확산된다. 사용자는 이 웜을 HTML 메일에 첨부 파일로 받게 되며 이것을 열자마자 바로 실행된다. Outlook Express을 사용하는 경우, 이 웜은 미리 보기 모드에서도 자동으로 실행된다. 또한 다음과 같은 확장자를 가진 파일을 실행 불가로 만든다. 1. XLS 2. GIF 3. JPEG 4. JPG 5. JPE 6. WMF 7. AVI 8. MP2 9. MP3 10. MPEG 11. MPG 12. RAR 13. ARJ 14. LHA 15. VQF 16. ZIP 17. DOC 18. BMP 19. WMA 20. WMV 이 웜은 또한 일반 실행파일은 실행시키는 반면 Regedit는 실행하지 못하게 한다. W32/Blebla.B@mm는 HTML 메일로서 받게 되며 Internet Explorer 5 와 Outlook Iframe의 보안 약점을 이용하여 HTML 스크립트가 웜을 실행 하도록 한다. 또한 메일의 첨부된 파일을 실행하지 않고 보는 것 만으로도 실행되기도 한다. W32/Blebla.B@mm는 KEY_CURRENT_USERS\Software\Microsoft\Internet Account Manager\00000001\(Email Address)에 포함되어 있는 메일 주소를 사용하며 이메일을 보낸다. 이 웜은 또한 윈도우 디렉토리에 SYSRNJ.EXE 파일을 복사한다. W32/Blebla.B@mm는 C:\Windows\Temp 디렉토리에 xromeo.exe파일과 xjuliet.chm파일을 생성하기도 하고 그렇지 않기도 한다. xromeo.exe파일은 xjuliet.chm을 활성화 시켜, W32/Blebla.B@mm을 실행시킨다. 그리고 레지스트리에 다음의 여러 항목을 생성한다. HKEY_CLASSES_ROOT\rnjfile\shell\open\command="C:\Windows\sysrnj.exe"% 1"%*" 이 레지스트리 항목은 파일을 실행시에 C:\Windows\sysrnj.exe에 위치한 웜과 연결되도록 만든다.

※ 예방 및 수동 조치 방법

1. 윈도우 디렉토리에서 SYSRNJ.EXE 파일을 삭제한다. 2. Windows\temp 디렉토리에서 xromeo.exe 와 xjuliet.chm 파일이 있을 경 우 삭제한다. 3. 이 웜에 감염되었을 경우 regedit가 실행되지 않으므로 Regedit.exe 를 Regedit.com으로 이름을 변경한다. (도스 모드에서 c:\Windows\ren regedit.exe regedit.com 한 다음 엔터) 4. Regedit.com 을 실행해서 HKEY_CLASSES_ROOT\rnjfile\shell\open\command= "C:\Windows\sysrnj.exe"%1"%*"를 찾는다. 5. HKEY_CLASS_ROOT\rnjfile 에서 rnjfile 키를 삭제한다. 6. HKEY_CLASS_ROOT\.exe키의 "기본값"을 exefile로 수정해 준다. 7. .gif .jpeg .doc 등 위에서 열거한 나머지의 값들도 모두 수정해 주어야 각각의 파일들이 정상적으로 실행 될 것이다.(ex:확장자가 jpeg 파일 이라면 오른쪽 버튼 -> 연결화일)

• 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
• 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요