보안IT뉴스 보안권고문 보안Tip 보안처방 보안통신 보안용어 보안백신메일 보안캘린더
보안위협DB 찾기
보안칼럼
에브리존 Zip에브리존 See에브리존 FTP

  보안IT뉴스
  보안권고문
  보안Tip
  보안처방
  보안통신
  보안용어
  보안백신메일
  보안캘린더
  보안위협DB찾기
  보안칼럼

   보안위협DB찾기
   
  
 목록 |  윗글 |  아랫글  
W32/Balge.9649@mm
 바이러스 종류
Worm
 실행환경
Windows
 발견일
2005년12월20일
 제작지
불분명
 위험등급
보통
 확산방법
이메일
 바이러스 크기
9,649 Byte
 첨부파일
Richard.zip 외 다수
 메일제목
  James 외 다수
 증상요약
  레지스트리 변경, 메일발송, 파일 생성
 치료방법

터보백신 제품군으로 진단/치료 가능합니다.



  
 
상세설명
이 웜은 W32/Balge.35761@mm 의 변종으로 자체 SMTP를 이용해 이메일을 통하여 전파되며, 감염된 메일이나 파일을 특정 서버로부터 받을수 있다.

[메일 제목]

다음 리스트에서 선택 된다.

Ales
Alice
Alyce
Andrew
Androw
Androwe
Ann
Anna
Anne
Annes
Anthonie
Anthony
Anthonye
Avice
Avis
Bennet
Bennett
Christean
Christian
Constance
Cybil
Daniel
Danyell
Dorithie
Dorothee
Dorothy
Edmond
Edmonde
Edmund
Edward
Edwarde
Elizabeth
Elizabethe
Ellen
Ellyn
Emanual
Emanuel
Emanuell
Ester
Frances
Francis
Fraunces
Gabriell
Geoffraie
George
Grace
Harry
Harrye
Henrie
Henry
Henrye
Hughe
Humphrey
Humphrie
Isabel
Isabell
James
Jane
Jeames
Jeffrey
Jeffrye
Joane
Johen
John
Josias
Judeth
Judith
Judithe
Katherine
Katheryne
Leonard
Leonarde
Margaret
Margarett
Margerie
Margerye
Margret
Margrett
Marie
Martha
Mary
Marye
Michael
Mychaell
Nathaniel
Nathaniell
Nathanyell
Nicholas
Nicholaus
Nycholas
Peter
Ralph
Rebecka
Richard
Richarde
Robert
Roberte
Roger
Rose
Rycharde
Samuell
Sara
Sidney
Sindony
Stephen
Susan
Susanna
Suzanna
Sybell
Sybyll
Syndony
Thomas
Valentyne
William
Winifred
Wynefrede
Wynefreed
Wynnefreede

[메일 내용]

다음 리스트에서 선택 된다.

Happy New Year
New Year''s
New Year''s Day
New 2006
We congratulate happy New Year

[첨부파일]

파일 이름 은 다음 리스트에서 선택 된다.
Ales.zip
Alice.zip
Alyce.zip
Andrew.zip
Androw.zip
Androwe.zip
Ann.zip
Anna.zip
Anne.zip
Annes.zip
Anthonie.zip
Anthony.zip
Anthonye.zip
Avice.zip
Avis.zip
Bennet.zip
Bennett.zip
Christean.zip
Christian.zip
Constance.zip
Cybil.zip
Daniel.zip
Danyell.zip
Dorithie.zip
Dorothee.zip
Dorothy.zip
Edmond.zip
Edmonde.zip
Edmund.zip
Edward.zip
Edwarde.zip
Elizabeth.zip
Elizabethe.zip
Ellen.zip
Ellyn.zip
Emanual.zip
Emanuel.zip
Emanuell.zip
Ester.zip
Frances.zip
Francis.zip
Fraunces.zip
Gabriell.zip
Geoffraie.zip
George.zip
Grace.zip
Harry.zip
Harrye.zip
Henrie.zip
Henry.zip
Henrye.zip
Hughe.zip
Humphrey.zip
Humphrie.zip
Isabel.zip
Isabell.zip
James.zip
Jane.zip
Jeames.zip
Jeffrey.zip
Jeffrye.zip
Joane.zip
Johen.zip
John.zip
Josias.zip
Judeth.zip
Judith.zip
Judithe.zip
Katherine.zip
Katheryne.zip
Leonard.zip
Leonarde.zip
Margaret.zip
Margarett.zip
Margerie.zip
Margerye.zip
Margret.zip
Margrett.zip
Marie.zip
Martha.zip
Mary.zip
Marye.zip
Michael.zip
Mychaell.zip
Nathaniel.zip
Nathaniell.zip
Nathanyell.zip
Nicholas.zip
Nicholaus.zip
Nycholas.zip
Peter.zip
Ralph.zip
Rebecka.zip
Richard.zip
Richarde.zip
Robert.zip
Roberte.zip
Roger.zip
Rose.zip
Rycharde.zip
Samuell.zip
Sara.zip
Sidney.zip
Sindony.zip
Stephen.zip
Susan.zip
Susanna.zip
Suzanna.zip
Sybell.zip
Sybyll.zip
Syndony.zip
Thomas.zip
Valentyne.zip
William.zip
Winifred.zip
Wynefrede.zip
Wynefreed.zip
Wynnefreede.zip

[웜이 발송한 메일의 예]




[특징]

웜이 실행되면 다음과 같이 윈도우 시스템 폴더(win 2000, NT : c:\Wint\system32, win XP : c:\windows\system32) 에 windll2.exe(9,649 Byte) 파일을 생성한다.

또한, 다음처럼 레지스트를 수정하여 다음 부팅시 실행되도록 조작한다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ru1n 항목에
(windows 9x)
erfgddfk = "c:\windows\system\windll2.exe"

(windows xp)
erfgddfk = "c:\windows\system32\windll2.exe"

(windows 2000, NT)
erfgddfk = "c:\winnt\system32\windll2.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru1n 항목에

(windows 9x)
erfgddfk = "c:\windows\system\windll2.exe"

(windows xp)
erfgddfk = "c:\windows\system32\windll2.exe"

(windows 2000, NT)
erfgddfk = "c:\winnt\system32\windll2.exe"

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Ru1n 항목에
(windows 9x)
erfgddfk = "c:\windows\system\windll2.exe"

(windows xp)
erfgddfk = "c:\windows\system32\windll2.exe"

(windows 2000, NT)
erfgddfk = "c:\winnt\system32\windll2.exe"
을 생성한다.
그리고 위의 레지스트리 키에 다음과 같은 값이 있으면 삭제 한다.
9XHtProtect
Antivirus
EasyAV
FirewallSvr
HtProtect
ICQ Net
ICQNet
Jammer2nd
KasperskyAVEng
MsInfo
My AV
NetDy
Norton Antivirus AV
PandaAVEngine
SkynetsRevenge
Special Firewall Service
SysMonXP
Tiny AV
Zone Labs Client Ex
service

그리고 특정 싸이트에서 eml.exe 파일을 윈도우즈 폴더에 내려 받는다.
다음 문자열을 포함한 메일주소로는 감염된 메일을 보내지 않는다.
@avp.
@derewrdgrs
@eerswqe
@iana
@messagelab
@microsoft
abuse
admin
anyone@
bugs@
cafee
certific
contract@
f-secur
feste
free-av
gold-certs@
google
help@
icrosoft
info@
linux
listserv
local
nobody@
noone@
noreply
ntivi
panda
postmaster@
rating@
root@
samples
sopho
support
update
그리고 다음과 같은 Mutexe 를 생성한다.

MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D
''D''r''o''p''p''e''d''S''k''y''N''e''t''
_-oOaxX|-+S+-+k+-+y+-+N+-+e+-+t+-|XxKOo-_
[SkyNet.cz]SystemsMutex
AdmSkynetJklS003
____--->>>>U<<<<--____
_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_

TCP 80 포트를 열어 놓아 파일 업로드등의 기능을 수행할 수 있다.
 
예방 및 수동조치방법
무단전재ㆍ배포금지
에브리존에서 제공하는 모든 컨텐츠 정보에 대한 저작권은 에브리존의 소유이며 관련법의 보호를 받습니다.
에브리존의 사전 허가 없이 에브리존 컨텐츠를 무단으로 전재, 배포를 금지되어 있습니다.
이를 위반하는 경우 손해배상의 대상 또는 민.형사상의 법적 소송 대상이 될 수 있습니다.
* 에브리존 정보 이용 문의 : greenking@everyzone.com
 목록