(주)에브리존 :: 바이러스 · 악성코드 없는 세상

보안IT뉴스

보안권고문

보안Tip

보안처방

보안위협DB 찾기

보안위협DB찾기

목록 |

윗글 |

아랫글

W97M/AntiSocial.N

바이러스 종류

Macro Virus

실행환경

Win9x, 2000, XP (office 가능환경)

발견일

제작지

위험등급

확산방법

바이러스 크기

첨부파일

메일제목

증상요약

치료방법

터보백신 Ai 으로 치료 가능.

상세설명

이 바이러스는 다형성 매크로바이러스 이며, Word97 문서와 템플릿을 감염 대상으로 한다.
Word 97 의 SR-1 하에서 복제된다.

이 바이러스는 Word 97 의 매크로 위험 기능을 끈다.

이 바이러스는 "ThisDocument" 스트림을 매크로 모듈 내에 가진다.
또하나 다형성적으로 일반적인 무작위적 길이의 명령줄을 바이러스 코드 사이에 삽입하는 알고리즘을 사용한다.

감염된 문서나 매크로바이러스로 인정된 것이 실행되거나 Open 되면, 전역 템플릿이나, 현재 문서에 감염되어 저장된다.

레지스트리에 다음의 키값을 체크한다.

"HKCU\Software\Microsoft\Office\"
"Lys Kovick" = "Nachfolgerin"

위의 키가 존재하지 않을 경우, 파일은 무작위적인 숫자 1~9998.VBS 파일을 생성한다.
이 파일은 VB Script 이며, Winscripting Host 가 설치된 시스템에서 실행 될 수 있다.
이 파일이 실행되면, c:\ 에 생성되며, 레지스트리에 다음의 키값을 생성한다.

"HKLM\Software\Microsoft\Windows\CurrentVersion\Run"
"Nachfolgerin" = "C:\" (random number) ".VBS"

위 레지스트리 값은 이후, 자체 체크를 통해 값을 참조하여 수정한다.
c:\ 에 생성된 파일은 .VBS 파일과같은 이름으로 바이러스성 소스 코드를 포함한다.
.sys 확장자는 이 대상에서 제외된다.

전역 템플릿내의 바이러스 코드는 Word97 내 감염 문서에서 가져온다.
VBS 파일은 Word97 어플리케이션의 산물이며, 가져온 전역 탬플릿은 sys 파일의 내용이며, Word97 감염의 한 예이다.

감염된 문서가 Open 되면, 전역 탬플릿의 크기가 증가한다.
위에 언급된 레지스트리 키의 변경은, 역시 위에 언급된 c:\ 이하의 VBS, SYS 파일을 생성하는 것이다.

예방 및 수동조치방법