www.everyzone.com 에서 전용백신을 내려 받아 치료 가능하며
W32/Blebla.B@mm 관련
파일은 터보백신 Ai, 터보백신 2001 최신 버전, 터보백신 Online으로 삭제
가능하다.
상세설명
보통 로미오와 줄리엣 변종 바이러스로 불리며, 터보백신에서는
W32/Blebla.B@mm로 검색 된다. W32/Blebla.B@mm는 감염된 사용자의
Microsoft Outlook 주소록에 등록된 모든 계정에 바이러스 파일을 첨부한
메일을 전송하는 방법으로 확산된다.
사용자는 이 웜을 HTML 메일에 첨부 파일로 받게 되며 이것을 열자마자
바로 실행된다.
Outlook Express을 사용하는 경우, 이 웜은 미리 보기 모드에서도
자동으로 실행된다. 또한 다음과 같은 확장자를 가진 파일을 실행 불가로
만든다.
1. XLS
2. GIF
3. JPEG
4. JPG
5. JPE
6. WMF
7. AVI
8. MP2
9. MP3
10. MPEG
11. MPG
12. RAR
13. ARJ
14. LHA
15. VQF
16. ZIP
17. DOC
18. BMP
19. WMA
20. WMV
이 웜은 또한 일반 실행파일은 실행시키는 반면 Regedit는 실행하지
못하게 한다.
W32/Blebla.B@mm는 HTML 메일로서 받게 되며 Internet Explorer 5 와
Outlook Iframe의 보안 약점을 이용하여 HTML 스크립트가 웜을 실행 하도록
한다. 또한 메일의 첨부된 파일을 실행하지 않고 보는 것 만으로도
실행되기도 한다.
W32/Blebla.B@mm는 KEY_CURRENT_USERS\Software\Microsoft\Internet
Account Manager\00000001\(Email Address)에 포함되어 있는 메일 주소를
사용하며 이메일을 보낸다.
이 웜은 또한 윈도우 디렉토리에 SYSRNJ.EXE 파일을 복사한다.
W32/Blebla.B@mm는 C:\Windows\Temp 디렉토리에 xromeo.exe파일과
xjuliet.chm파일을 생성하기도 하고 그렇지 않기도 한다.
xromeo.exe파일은 xjuliet.chm을 활성화 시켜, W32/Blebla.B@mm을
실행시킨다.
그리고 레지스트리에 다음의 여러 항목을 생성한다.
HKEY_CLASSES_ROOT\rnjfile\shell\open\command="C:\Windows\sysrnj.exe"%
1"%*"
이 레지스트리 항목은 파일을 실행시에 C:\Windows\sysrnj.exe에 위치한
웜과 연결되도록 만든다.
예방 및 수동조치방법
1. 윈도우 디렉토리에서 SYSRNJ.EXE 파일을 삭제한다.
2. Windows\temp 디렉토리에서 xromeo.exe 와 xjuliet.chm 파일이 있을 경
우 삭제한다.
3. 이 웜에 감염되었을 경우 regedit가 실행되지 않으므로
Regedit.exe 를 Regedit.com으로 이름을 변경한다.
(도스 모드에서 c:\Windows\ren regedit.exe regedit.com 한 다음 엔터)
4. Regedit.com 을 실행해서
HKEY_CLASSES_ROOT\rnjfile\shell\open\command=
"C:\Windows\sysrnj.exe"%1"%*"를 찾는다.
5. HKEY_CLASS_ROOT\rnjfile 에서 rnjfile 키를 삭제한다.
6. HKEY_CLASS_ROOT\.exe키의 "기본값"을 exefile로 수정해 준다.
7. .gif .jpeg .doc 등 위에서 열거한 나머지의 값들도
모두 수정해 주어야 각각의 파일들이 정상적으로 실행
될 것이다.(ex:확장자가 jpeg 파일 이라면 오른쪽 버튼 -> 연결화일)
무단전재ㆍ배포금지
에브리존에서 제공하는 모든 컨텐츠 정보에 대한 저작권은 에브리존의 소유이며 관련법의 보호를 받습니다.
에브리존의 사전 허가 없이 에브리존 컨텐츠를 무단으로 전재, 배포를 금지되어 있습니다.
이를 위반하는 경우 손해배상의 대상 또는 민.형사상의 법적 소송 대상이 될 수 있습니다.
* 에브리존 정보 이용 문의 : greenking@everyzone.com
