바이러스
홈 >
바이러스
>
바이러스
조회수 : 85
작성일 : 2007.04.03
| W32/Avril-A, W32.Lirva.A@mm | |
| 작성자 | 허소영 |
|---|---|
| 내용 | 2003년 1월 7일 외국에서 처음 발견 보고 되었으며, 국내에도 2003년 1월 8일 발견 리포팅 되었다.
확산방법은 메일을 포함하여, "네트워크 공유 폴더/IRC/메신저/KaZaa(P2P)"로 매우 다양하다. 메일로 확산시에는 아래의 확장명을 지닌 파일에서 메일 주소를 추출하는데, '@microsoft.com'과 일부 Anti-Virus 업체의 메일 주소로는 웜을 발송하지 않는다. " .TBB, .HTM, .EML, .HTML, .WAB, .MBX, .DBX, .IDX, .NCH, .SHTML" 메일을 통한 확산시 특징은 아웃룩과 아웃룩 익스프레스의 보안 취약점을 이용하기 때문에 보안 취약점이 패치되지 않은 시스템에서는 메일을 읽어 보기만해도 첨부 파일이 실행되어 감염된다. 제 목 : - Fw: Prohibited customers... - Re: Brigade Ocho Free membership - Re: According to Daos Summit - Fw: Avril Lavigne - the best - Re: Reply on account for IIS-Security - Re: ACTR/ACCELS Transcriptions - Re: The real estate plunger - Fwd: Re: Admission procedure - Re: Reply on account for IFRAME-Security breach - Fwd: Re: Reply on account for Incorrect MIME-header 첨부 파일 - Resume.exe - Download.exe - MSO-Patch-0071.exe - MSO-Patch-0035.exe - Two-Up-Secretly.exe - Transcrupts.exe - Readme.exe - AvrilSmiles.exe - AvrilLavigne.exe - Complicated.exe - Singles.exe - Sophos.exe - Cogito_Ergo_Sum.exe - CERT-Vuln-Info.exe - Sk8erBoi.exe - IAmWithYou.exe [감염 후 증상] 1.웜이 실행되면 아래의 폴더의 웜의 복사본을 저장한다. - C:\ (루트) - 윈도우 시스템 폴더 - 윈도우 폴더의 존재하는 임시 폴더(Temp) - 휴지통 폴더 2.다음과 같은 문자열을 지닌 프로세스를 강제 종료 시킨다. "virus, anti, McAfee, Virus, Anti, AVP, Norton" (대부분 Anti-Virus프로그램이다.) 3. 매월 7일, 11일, 24일에 인터넷 익스플로러의 홈 페이지가 특정 URL로 변경된 후 애니메이션을 Play한다. |
| 첨부파일 | |
