(주)에브리존 :: 바이러스 · 악성코드 없는 세상

에브리존소개 | 제품소개 | 고객센터 | 사이트맵 |

Home

보안접속	ID저장

회원가입 | ID&비번찾기

AD 무료로 책받아가세요!

목록 |

윗글 |

아랫글

W32/PiBi.B@mm

바이러스 종류

Worm

실행환경

Win9x, Win2000, NT

발견일

2002년11월01일

제작지

불분명

위험등급

확산방법

바이러스 크기

32,256 Bytes

첨부파일

install.exe

메일제목

Re:hya, WindowsXP Service Release Pack 2.002

증상요약

치료방법

터보백신 Ai, 터보백신 2001 또는 터보백신 Online으
로 치료가능합니다.

< Outlook Express >
-
http://www.microsoft.com/windows/ie/downloads/crit
ical/q323759ie/defau
lt.asp

< Outlook 2000 >
-
http://office.microsoft.com/korea/downloads/2000/O
ut2ksec.aspx

< Outlook 2002(Office XP) >
-
http://office.microsoft.com/korea/Downloads/2002/o
xpsp2.aspx

상세설명

W32/Pibi@mm의 변형으로 감염된 이메일의 첨부 파일
과, KazaA, IRC를 통해 전파 된다.
마이크로 소프트 비주얼 C++로 코딩되어 있으며, UPX
압축프로그램으로 압축되 있다.
부정확한 MIME 헤더를 이용하여 E-mail첨부파일을 실
행하도록 야기하는 보안 버그를 이용하므로 메일을 클
릭 하는 것만으로 감염될 수 있다.

메일 본문은 다음과 같다.

Istall the program in the attachment.

파일이 실행되면 윈도우의 시스템 폴더(win9x :
c:\windows\system,
Win2000 : c:\Winnt\system32)에
WSYXXX.exe를 생성한다.(XXX : 랜덤한 숫자)

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre
ntVersion\Run
항목에

Win9x 인 경우 : Kernel32.dll module =
c:\windows\system\WSYSXXX.EXE
Win2000 인경우: Kernel32.dll module =
c:\winnt\system32\WSYSXXX.EXE
(XXX : 랜덤한 숫자)

HKEY_LOCAL_MACHINEN\Software\PieceByPieceB\inf
항목에 yep

또한 C:\ 루트에 boot64.bin을 생성 하기도 하는데
이 파일은 base64로 압
축되어 있는 바이러스 본체 파일로 감염된 메일을 보
낼때 사용한다.

첨부된 파일을 실행 하면 다음과 같은 에러 메시지를
띄우며, 실행할수 없
는 것처럼 위장한다.

Error! This process will be terminated.

10월 18일에 다음과 같은 메시지 창을 띄운다.

"Sucking back a cigarette
Thinking about new regrets
Trying to be someone you'd like to be
Passing faces on the road
Where the hell can we still go?
Leaves us open to temptation..."
-Feeder

또한 다음 문자열을 가진 특정 안티 바이러스의 프로
세스를 중지시키는 기
능을 가지고 있는 것으로 보인다.

AV
F-
av
NOD32
SCAN
MON
ALERT
ANTIVIR
PCCW
PCC
FP-
TRAP
TDS2-
VET
SWEEP
MCAFEE
FIREW
DVP
CFI
ICL
VSHW

예방 및 수동조치방법