치료후 http://www.microsoft.com/technet/treeview/default.asp?
url=/technet/security/bulletin/MS00-075.asp
를 통하여 가상머신의 보안 패치를 받도록 한다.
상세설명
비주얼 베이직으로 만들어 졌으며 첨부파일이 없는 메일을 통해 전파된다.
C:\Program Files\Common Files\Microsoft Shared\Stationery 폴더에
blank.htm 바이러스 파일을 생성 하여, 이를 이용한 메일의 HTML코드를
통해 Microsoft VM ActiveX component vulnerability 의 취약성을 이용하
여 자동으로 .html, .htm, .asp, .php, .jsp, and .vbs 파일을 감염시킨다.
바이러스가 실행 되면 감염시 시스템 폴더(Win9x : C:\windows\system,
Win2000, NT, XP : C:\Winnt\system32)에
에 kernel.dll또는 Kernel32.dll를 생성 하게 되는데 이는 윈도우 폴더에
WSCRIP.exe파일의 존재 여부에 따라 선택 되어 진다.
다음으로 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run 항목에 Kernel32를 생성하고 다음과 같은 값을 추가 한다.
c:\window\SYSTEM\Kernel32.dll 또는 c:\window\SYSTEM\Kernel.dll
또한 다음의 레지스트리 값을 설정한다.
HKEY_CLASSES_ROOT\.dll\
(기본값) dllfile
Content Type application/x-msdownload 로 셋팅(대부분 시스템의 디폴트
값)
HKEY_CLASSES_ROOT\dllfile\
DefaultIcon 을 HKEY_CLASSES_ROOT\vxdfile\DefaultIcon 값으로 변경
ScriptEngine 을 VBScript로 변경
ShellEx\PropertySheetHandlers\WSHProps\ {60254CA5-953B-11CF-8C96-
00AA00B8708C}로 설정
ScriptHostEncode 을 {85131631-480C-11D2-B1F9-00C04F86C324} 로 설정
HKEY_CLASSES_ROOT\dllFile\Shell\Open\Command\
WScript.exe 파일이 존재하는 경우
(기본값) c:\Windows\WScript.exe "%1" %*
없는 경우
(기본값) c:\Windows\system32\WScript.exe "%1" %* 값 변경
예방 및 수동조치방법
무단전재ㆍ배포금지
에브리존에서 제공하는 모든 컨텐츠 정보에 대한 저작권은 에브리존의 소유이며 관련법의 보호를 받습니다.
에브리존의 사전 허가 없이 에브리존 컨텐츠를 무단으로 전재, 배포를 금지되어 있습니다.
이를 위반하는 경우 손해배상의 대상 또는 민.형사상의 법적 소송 대상이 될 수 있습니다.
* 에브리존 정보 이용 문의 : greenking@everyzone.com
