(주)에브리존 :: 바이러스 · 악성코드 없는 세상

에브리존소개 | 제품소개 | 고객센터 | 사이트맵 |

Home

보안접속	ID저장

회원가입 | ID&비번찾기

AD 무료로 책받아가세요!

목록 |

윗글 |

아랫글

W32/Nimda@mm

바이러스 종류

Worm

실행환경

Win9x, Win2000

발견일

2001년09월08일

제작지

불분명

위험등급

확산방법

바이러스 크기

57,344Byte

첨부파일

Readme.exe

메일제목

증상요약

치료방법

터보백신 또는 터보백신 Online으로 치료 가능하다.(터보백신으로 치료 한 경우라면 아래 * 내용은 하실 필요 없지만 한번 점검해 보시기 바란다.)

* 윈9x 계열에 감염된 경우에는 윈도우즈 폴더에 있는 system.ini 파일에서 shell=explorer.exe load.exe -dontrunold 부분을 shell=explorer.exe 로 바꾼다.

- IIS 사용자의 경우 반드시 IIS 를 종료 하시고, 패치하신 후에 치료하시 기 바란다.

- riched20.dll 이 웜에 의해서 겹쳐 써진 경우라면 치료후에 riched20.dll 파일을 윈도우즈 시스템 폴더(윈9x: \Windows\System, WinNT/2000: \WinNT\System32) 에 복사해 주시기 바란다. (riched20.dll 파 일이 겹쳐써진 경우 경우 오피스 프로그램 등의 실행시에 오류가 발생할 수 있다.)

패치방법 :

- 인터넷 익스플로어는 부정확한 MIME 헤더는 첨부파일을 열기만 해도 실행 하도록 하는 문제가 있는데, 아래 주소에서 패치를 받아 적용시키면 이를 막을 수 있다.

http://www.microsoft.com/technet/treeview/default.asp? url=/technet/security/bulletin/MS01-020.asp

- 윈도우즈 서버상에서 IIS 를 실행하는 사용자라면 반드시 아래 주소에서 Web Server Folder Traversal 보안 패치를 받아서 적용하기 바란 다.

http://www.microsoft.com/technet/treeview/default.asp? url=/technet/security/bulletin/MS01-044.asp

상세설명

부정확한 MIME 헤더를 이용하여 E-mail첨부를 실행하도록 야기하는
보안 버그를 이용한다.
자체 smtp를 이용한 이메일과 네트워크 공유폴더, 보안패치가 안된
IIS 웹서버의 취약점을 이용하여 바이러스가
전파된다.

바이러스 메일을 보내는 주소는 아웃룩의 주소록과 htm, html의 정보를
이용하며, 네트워크 공유폴더를 이용할 경우에는 doc 문서의 제목을 이용하여
확장자가 eml, nws 파일로 클릭만 해도 자동으로 퍼지게 된다.
또한 감염된 시스템의 모든 드라이브를 읽기/쓰기 상태로 공유시킨다.

바이러스가 실행되면, 윈도우 폴더(win9x: c:\windows, win2000: c:\winnt)에
Load.exe, riched20.dll 파일을 생성하고, 설정된 드라이브의 루트 디렉토리에
admin.dll 파일을 생성한다.

win.ini에 다음의 항목을 추가하여 다음 부팅때 바이러스가 실행되도록 한다.
shell=explorer.exe load.exe -dontrunold

보안패치가 안된 IIS 웹서버의 루트 드라이브에는 index, default, main의
파일이름을 가진 htm, html, asp 파일을 찾아서 readme.eml 파일을 복사해
놓는다.

윈도우 임시 폴더(win9x: c:\windows\temp, win2000: c:\winnt\temp)에
mepXXXX.TMP파일(xxxx: 임의의 숫자와 영문자)과 mepXXXX.TMP.exe 파일을
생성하게 되는데 숨김속성과 시스템 파일 속성, 읽기 전용 속성을 가진다.

바이러스에 감염된 경우 생성하는 파일중 riched20.dll은 오피스 제품군에서
문서를 저장하거나 불러 올때 오류를 일으키게 되는데, 다른 정상적인
pc에서 해당 파일을 복사해 감염된 시스템에 넣어 주어야 한다.

예방 및 수동조치방법