(주)에브리존 :: 바이러스 · 악성코드 없는 세상

보안IT뉴스

보안권고문

보안Tip

보안처방

보안위협DB 찾기

보안위협DB찾기

목록 |

윗글 |

아랫글

W32/Swen.106496@mm

바이러스 종류

Worm

실행환경

Win9x, Win2000, NT

발견일

2003년09월18일

제작지

불분명

위험등급

확산방법

바이러스 크기

106,496 Bytes

첨부파일

clly.exe 외 다수

메일제목

Newest Security Upgrade 외 다수

증상요약

치료방법

터보백신 Ai, 터보백신 2001 또는 터보백신 Online으로 치료
가능 합니다.

바이러스 치료후 인터넷 익스플로러 6.0 으로 업그래이드 하거나
다음의 url 에서 아웃룩 패치를 받아야 한다.

http://www.microsoft.com/korea/technet/security/bulletin/MS01-020.asp

상세설명

비주얼 C++로 작성되었으며, P2P 응용 프로그램인 KaZaA 그리고
mIRC 등으로 전파된다.

해당 웜은 마이크로소프트가 보낸 형식의 패치파일 프로그램과
랜덤한 제목을 가지는 일반 텍스트 메일형식을 가지고 있다.

랜덤한 제목을 가지는 일반 텍스트 형식의 메일은 보안패치가 안된
아웃룩에서 메일을 읽기만 해도 자동 실행되는 보안버그를 이용하기도 한다.

그리고 이 웜은 윈도우 보안패치 형식과 일반 텍스트 형식의 메일이
짝을 이루어 동시에 보내진다.

웜은 *.dbx, *.mbx, *.eml,*.wab, *.asp, *.ht*  파일에서 메일 주소를 추출
하여 자체 smpt를 이용 감염된 파일과 함께 메일을 발송하며,네트워크
공유폴더를 통해 전파되기도 한다.

웜이 실행 되면 윈도우 폴더(win9x, xp : c:\windows, win2000 : c:\winnt)에
복사본을 랜덤한 파일이름으로 생성한다.
그리고Swen1.dat파일을 생성하는데 뉴스그룹의 서버 주소가 저장되 있다.

특히 *.reg 형식의 확장자를 실행할때의 레지스트리를 변경하기 때문에

reg 파일을 실행하려 할 경우 다음과 같은 에러 메시지를 나타낸다.

''Memory access violation in module kernel32 at xxxx''( xxxx : 랜덤한 숫자)

또한 자신을 실행할수 있게 아래의 내용이 레지스트리에 추가 된다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
항목에

랜덤한 데이터 값 = (랜덤한파일명).exe autorun

HKEY_CLASSES_ROOT\batfile\shell\open\command
항목에

(Default) = (랜덤한파일명).exe "%1" %*

HKEY_CLASSES_ROOT\comfile\shell\open\command
항목에

(Default) = (랜덤한파일명).exe "%1" %*

HKEY_CLASSES_ROOT\exefile\shell\open\command
항목에

(Default) = (랜덤한파일명).exe "%1" %*

HKEY_CLASSES_ROOT\piffile\shell\open\command
항목에

(Default) = (랜덤한파일명).exe "%1" %*

HKEY_CLASSES_ROOT\regfile\shell\open\command
항목에

(Default) = (랜덤한파일명).exe showerror

HKEY_CLASSES_ROOT\scrfile\shell\open\command
항목에

(Default) = (랜덤한파일명).exe "%1" /S

HKEY_CLASSES_ROOT\scrfile\shell\config\command
항목에

(Default) = (랜덤한파일명).exe "%1"

그리고 다음과 같은 프로세스가 발견되면 해당 프로그램을 강제 종료 시킨다.

_avp
ackwin32
anti-trojan
aplica32
apvxdwin
autodown
avconsol
ave32
avgcc32
avgctrl
avkserv
avsched32
avwin95
avwupd32
blackd
blackice
bootwarn
ccapp
ccshtdwn
cfiadmin
cfiaudit
cfind
cfinet
claw95
ecengine
efinet32
esafe
espwatch
f-agnt95
f-prot
f-prot95
f-stopw
findviru
fp-win
fprot
fprot95
iamapp
iamserv
ibmasn
ibmavsp
icload95
icloadnt
icmon
icmoon
icssuppnt
icsupp
iface
iomon98
kpfw32
lookout
luall
lockdown2000
moolive
mpftray
msconfig
nai_vs_stat
navapw32
navlu32
navnt
navsched
nisum
nmain
normist
nupdate
nupgrade
nvc95
outpost
padmin
pavcl
pavsched
pcciomon
pccmain
pccwin98
persfw
pop3trap
pview
pcfwallicon
regedit
rescue
safeweb
serv95
sphinx
sweep
vcleaner
vcontrol
vet32
vet95
vet98
vettray
vscan
vsecomr
vshwin32
vsstat
webtrap
wfindv32
zapro
zonealarm

*마이크로 소프트 패치형식

보낸사람 : 다음에서 선택된다.

MS Corporation Security Center
Microsoft Corporation Security Bulletin
Microsoft Corporation Security Department

메일제목 : 다음에서 선택된다.

Latest Pathch
Newest Security Upgrade
Internet Security Upgrade

받는 사람 : 다음에서 선택된다.

Consumer
Client
Microsoft Coporation Consumer

*일반 메일 형식

보낸사람 : 다음에서 선택된다.

MS Mail Delivery System
MS Net Message Storage System
network email storage system

메일제목 : 다음에서 선택된다.

advice
(제목없음)
report

받는사람 : 다음에서 선택된다.

Mail Receiver
internet recipient
Email Recipient

예방 및 수동조치방법