보안IT뉴스 보안권고문 보안Tip 보안처방 보안통신 보안용어 보안백신메일 보안캘린더
보안위협DB 찾기
보안칼럼
에브리존 Zip에브리존 See에브리존 FTP

  보안IT뉴스
  보안권고문
  보안Tip
  보안처방
  보안통신
  보안용어
  보안백신메일
  보안캘린더
  보안위협DB찾기
  보안칼럼

   보안위협DB찾기
   
  
 목록 |  윗글 |  아랫글  
W32/Swen.106496@mm
 바이러스 종류
Worm
 실행환경
Win9x, Win2000, NT
 발견일
2003년09월18일
 제작지
불분명
 위험등급
 확산방법
 바이러스 크기
106,496 Bytes
 첨부파일
clly.exe 외 다수
 메일제목
  Newest Security Upgrade 외 다수
 증상요약
  
 치료방법

터보백신 Ai, 터보백신 2001 또는 터보백신 Online으로 치료
가능 합니다.

바이러스 치료후 인터넷 익스플로러 6.0 으로 업그래이드 하거나
다음의 url 에서 아웃룩 패치를 받아야 한다.

http://www.microsoft.com/korea/technet/security/bulletin/MS01-020.asp



  
 
상세설명
비주얼 C++로 작성되었으며, P2P 응용 프로그램인 KaZaA 그리고
mIRC 등으로 전파된다.

해당 웜은 마이크로소프트가 보낸 형식의 패치파일 프로그램과
랜덤한 제목을 가지는 일반 텍스트 메일형식을 가지고 있다.

랜덤한 제목을 가지는 일반 텍스트 형식의 메일은 보안패치가 안된
아웃룩에서 메일을 읽기만 해도 자동 실행되는 보안버그를 이용하기도 한다.

그리고 이 웜은 윈도우 보안패치 형식과 일반 텍스트 형식의 메일이
짝을 이루어 동시에 보내진다.

웜은 *.dbx, *.mbx, *.eml,*.wab, *.asp, *.ht*  파일에서 메일 주소를 추출
하여 자체 smpt를 이용 감염된 파일과 함께 메일을 발송하며,네트워크
공유폴더를 통해 전파되기도 한다.

웜이 실행 되면 윈도우 폴더(win9x, xp : c:\windows, win2000 : c:\winnt)에
복사본을 랜덤한 파일이름으로 생성한다.
그리고Swen1.dat파일을 생성하는데 뉴스그룹의 서버 주소가 저장되 있다.

특히 *.reg 형식의 확장자를 실행할때의 레지스트리를 변경하기 때문에

reg 파일을 실행하려 할 경우 다음과 같은 에러 메시지를 나타낸다.

''Memory access violation in module kernel32 at xxxx''( xxxx : 랜덤한 숫자)


또한 자신을 실행할수 있게 아래의 내용이 레지스트리에 추가 된다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
항목에

랜덤한 데이터 값 = (랜덤한파일명).exe autorun

HKEY_CLASSES_ROOT\batfile\shell\open\command
항목에

(Default) = (랜덤한파일명).exe "%1" %*

HKEY_CLASSES_ROOT\comfile\shell\open\command
항목에

(Default) = (랜덤한파일명).exe "%1" %*

HKEY_CLASSES_ROOT\exefile\shell\open\command
항목에

(Default) = (랜덤한파일명).exe "%1" %*

HKEY_CLASSES_ROOT\piffile\shell\open\command
항목에

(Default) = (랜덤한파일명).exe "%1" %*

HKEY_CLASSES_ROOT\regfile\shell\open\command
항목에

(Default) = (랜덤한파일명).exe showerror

HKEY_CLASSES_ROOT\scrfile\shell\open\command
항목에

(Default) = (랜덤한파일명).exe "%1" /S

HKEY_CLASSES_ROOT\scrfile\shell\config\command
항목에

(Default) = (랜덤한파일명).exe "%1"

그리고 다음과 같은 프로세스가 발견되면 해당 프로그램을 강제 종료 시킨다.

_avp        
ackwin32  
anti-trojan  
aplica32  
apvxdwin    
autodown  
avconsol    
ave32
avgcc32    
avgctrl  
avkserv      
avsched32    
avwin95    
avwupd32  
blackd      
blackice    
bootwarn    
ccapp    
ccshtdwn    
cfiadmin    
cfiaudit    
cfind    
cfinet      
claw95      
ecengine    
efinet32  
esafe        
espwatch    
f-agnt95    
f-prot    
f-prot95    
f-stopw      
findviru    
fp-win    
fprot        
fprot95      
iamapp      
iamserv  
ibmasn      
ibmavsp      
icload95    
icloadnt  
icmon        
icmoon      
icssuppnt  
icsupp    
iface        
iomon98      
kpfw32      
lookout  
luall        
lockdown2000
moolive    
mpftray  
msconfig    
nai_vs_stat  
navapw32    
navlu32  
navnt        
navsched    
nisum      
nmain    
normist    
nupdate      
nupgrade    
nvc95    
outpost      
padmin      
pavcl      
pavsched  
pcciomon    
pccmain      
pccwin98    
persfw    
pop3trap    
pview        
pcfwallicon
regedit  
rescue      
safeweb      
serv95      
sphinx    
sweep        
vcleaner    
vcontrol    
vet32    
vet95        
vet98        
vettray    
vscan    
vsecomr      
vshwin32    
vsstat      
webtrap  
wfindv32    
zapro        
zonealarm


*마이크로 소프트 패치형식

보낸사람 : 다음에서 선택된다.

MS Corporation Security Center
Microsoft Corporation Security Bulletin
Microsoft Corporation Security Department

메일제목 : 다음에서 선택된다.

Latest Pathch
Newest Security Upgrade
Internet Security Upgrade

받는 사람 : 다음에서 선택된다.

Consumer
Client
Microsoft Coporation Consumer



*일반 메일 형식

보낸사람 : 다음에서 선택된다.

MS Mail Delivery System
MS Net Message Storage System
network email storage system

메일제목 : 다음에서 선택된다.

advice
(제목없음)
report


받는사람 : 다음에서 선택된다.

Mail Receiver
internet recipient
Email Recipient
 
예방 및 수동조치방법
무단전재ㆍ배포금지
에브리존에서 제공하는 모든 컨텐츠 정보에 대한 저작권은 에브리존의 소유이며 관련법의 보호를 받습니다.
에브리존의 사전 허가 없이 에브리존 컨텐츠를 무단으로 전재, 배포를 금지되어 있습니다.
이를 위반하는 경우 손해배상의 대상 또는 민.형사상의 법적 소송 대상이 될 수 있습니다.
* 에브리존 정보 이용 문의 : greenking@everyzone.com
 목록