(주)에브리존 :: 바이러스 · 악성코드 없는 세상

보안IT뉴스

보안권고문

보안Tip

보안처방

보안위협DB 찾기

보안위협DB찾기

목록 |

윗글 |

아랫글

W32/Bagle.U@mm

바이러스 종류

Worm

실행환경

Windows

발견일

2004년03월26일

제작지

불분명

위험등급

확산방법

바이러스 크기

8,208 byte

첨부파일

unrydskhg.exe 외 다수

메일제목

없음

증상요약

치료방법

터보백신Ai, 터보백신 Online, 터보백신 2001 제품군으로 치료가능.

터보백신 Ai를 사용하시고 아웃룩을 사용하신 다면 반드시 이메일 감시기를
실행하시기 바랍니다.

상세설명

이 웜은 이메일을 통하여 전파되며, 메일에 포함된 첨부파일은 랜덤하다.
바이러스를 포함한 이메일은 제목과 본문내용이 없다
이는 메일 필터링을 피하기 위한 수법으로 보인다.

[메일 제목]

없음

[메일 내용]

없음

(웜이 발송한 메일의 예)

1. 메일 제목: 없음

본문 내용: 없음

첨부파일 이름: sjtkqinn.exe

2. 메일 제목: 없음

본문 내용: 없음

첨부파일 이름: pdu.exe

3. 메일 제목: 없음

본문 내용: 없음

첨부파일 이름: yadaag.exe

4. 메일 제목: 없음

본문 내용: 없음

첨부파일 이름: wspkbl.exe

[특징]

웜이 실행되면 다음과 같이 윈도우 시스템 폴더(win 2000, NT : c:\Wint\system32, win XP : c:\windows\system32) 에 gigabit.exe(8,208 byte)파일을 생성한다.

그리고 c:\winnt 또는 c:\windows 에 q.vbs(약 1kbyte)를 생성한다.

또한, 다음처럼 레지스트를 수정하여 다음 부팅시 실행되도록 조작한다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 항목에

(win9x의 경우)
gigabit.exe = c:\windows\system\gigabit.exe

(win2000, NT의 경우)
gigabit.exe = c:\winnt\system32\gigabit.exe

(WinXP의 경우)
gigabit.exe = c:\windows\system32\gigabit.exe

HKEY_CURRENT_USER\Software\ Windows2004

를 기록한다.
다음으로 .HTM, .HTML,, .TXT, .WAB, .PHP, .XLS, XML, .MSG, .mbx, .mdx, .jsp, .eml, .cgi 확장자를 지닌 파일에서 메일 주소를 수집하여 지체 SMTP를 이용하여 웜이 첨부된 메일을 발송하지만 다음 도메인으로는 감염된 메일이 발송되지 않는다.

@avp.
@microsoft

또한 TCP 4751 포트를 열어두어 개인정보 유출의 위험성이 있다.
자세한 증상은 현재 분석중이다.

예방 및 수동조치방법