에브리존소개 | 제품소개 | 고객센터 | 사이트맵 | Home
개인고객 여성고객 e보안마켓 이벤트
개인고객기업고객
보안접속 ID저장
AD 무료로 책받아가세요!


 목록 |  윗글 |  아랫글  
Worm-W32/IRCBot.103832
 바이러스 종류
Worm
 실행환경
Windows
 발견일
2004년11월08일
 제작지
불분명
 위험등급
 확산방법
 바이러스 크기
103,832 byte
 첨부파일
 메일제목
  
 증상요약
  
 치료방법

터보백신Ai, 터보백신 Online, 터보백신 2001 제품군으로 치료가능.

치료 후 [시작]->Windows Update 메뉴를 이용하여

윈도우 운영체제 자체의 보안패치를 해 주시기 바랍니다.

*Lsass Vulnerability MS04-011
--> http://www.microsoft.com/korea/technet/security/bulletin/MS04-011.asp *RPC DCOM2 Vulnerability MS03-039
--> http://www.microsoft.com/korea/technet/security/bulletin/MS03-039.asp

*RPC DCOM Vulnerability MS03-026
--> http://www.microsoft.com/korea/technet/security/bulletin/MS03-026.asp

*RPC Locator Vulnerability MS03-001
--> http://www.microsoft.com/korea/technet/security/bulletin/MS03-001.asp

*UPnP (Universal Plug and Play) Vulnerability MS01-054
--> http://www.microsoft.com/korea/technet/security/bulletin/MS01-054.asp


간편한 패치에 대한 설명은 다음 바이러스칼럼을 확인해 주시기 바랍니다.
http://www.everyzone.com/service/info/content.asp?part=tbl_viruscolumn&id=20&GotoPage=1&block=&number=

보다 자세한 설명은 다음 링크를 확인해 주십시요.
http://www.everyzone.com/service/bbs/faq/content.asp?part=everyzone_faq&menu=0&id=22&GotoPage=3&block=0&number=



  
 
상세설명
비주얼 C++로 작성된 이 웜은 윈도우 보안 보안취약점과 윈도우 공유 폴더, 그리고 암호가 설정되지 않은 NT 커널 윈도우를 통해 전파된다.

특징으로는 해외 유명한 보안업체 싸이트와 업데이트 싸이트의 접속을 방해 하며, 백신 소프트웨어의

프로세스를 강제로 종료 하는 기능을 탑재하고 있다.

[특징]

실행시 특정 IRC 서버로 연결되게 되는데 이때 윈도우 CD key, 시스템 정보, 네트웍 정보 및

일반적인 해킹 활동인 CD-Rom 열고 닫기, 프로세스 강제 종료, 메일주소 수집, 파일 실행및 삭제 등등을

할수 있다.

그리고 윈도우 시스템 폴더(win 2000, NT : c:\Winnt\system32, win XP : c:\windows\system32, win 95/98/me : c:\windows\system)에

bcvsrv32.exe (103,832 byte) 를 생성 하고

다음처럼 레지스트를 수정하여 다음 부팅시 실행되도록 조작한다.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
항목에

Bcvsrv32 = bcvsrv32.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run \RunServices\
항목에

Bcvsrv32 = bcvsrv32.exe

특히 안티 바이러스및 보안 싸이트에 접속을 방해하는 방식으로 윈도우의 hosts 파일을 조작하게 된다.

(정상적인 hosts의 예)

# Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a ''#'' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost

(웜이 바꾼 hosts 파일의 예)

127.0.0.1 ad.doubleclick.net
127.0.0.1 ad.fastclick.net
127.0.0.1 ads.fastclick.net
127.0.0.1 ar.atwola.com
127.0.0.1 atdmt.com
127.0.0.1 avp.ch
127.0.0.1 avp.com
127.0.0.1 avp.ru
127.0.0.1 awaps.net
127.0.0.1 banner.fastclick.net
127.0.0.1 banners.fastclick.net
127.0.0.1 ca.com
127.0.0.1 click.atdmt.com
127.0.0.1 clicks.atdmt.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 download.microsoft.com
127.0.0.1 downloads.microsoft.com
127.0.0.1 engine.awaps.net
127.0.0.1 fastclick.net
127.0.0.1 f-secure.com
127.0.0.1 ftp.f-secure.com
127.0.0.1 ftp.sophos.com
127.0.0.1 go.microsoft.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 mast.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 media.fastclick.net
127.0.0.1 msdn.microsoft.com
127.0.0.1 my-etrust.com
127.0.0.1 nai.com
127.0.0.1 networkassociates.com
127.0.0.1 office.microsoft.com
127.0.0.1 phx.corporate-ir.net
127.0.0.1 secure.nai.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 service1.symantec.com
127.0.0.1 sophos.com
127.0.0.1 spd.atdmt.com
127.0.0.1 support.microsoft.com
127.0.0.1 symantec.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 vil.nai.com
127.0.0.1 viruslist.ru
127.0.0.1 windowsupdate.microsoft.com
127.0.0.1 www.avp.ch
127.0.0.1 www.avp.com
127.0.0.1 www.avp.ru
127.0.0.1 www.awaps.net
127.0.0.1 www.ca.com
127.0.0.1 www.fastclick.net
127.0.0.1 www.f-secure.com
127.0.0.1 www.kaspersky.ru
127.0.0.1 www.mcafee.com
127.0.0.1 www.my-etrust.com
127.0.0.1 www.nai.com
127.0.0.1 www.networkassociates.com
127.0.0.1 www.sophos.com
127.0.0.1 www.symantec.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.viruslist.ru
127.0.0.1 www3.ca.com
 
예방 및 수동조치방법
무단전재ㆍ배포금지
에브리존에서 제공하는 모든 컨텐츠 정보에 대한 저작권은 에브리존의 소유이며 관련법의 보호를 받습니다.
에브리존의 사전 허가 없이 에브리존 컨텐츠를 무단으로 전재, 배포를 금지되어 있습니다.
이를 위반하는 경우 손해배상의 대상 또는 민.형사상의 법적 소송 대상이 될 수 있습니다.
                                                                 * 에브리존 정보 이용 문의 : greenking@everyzone.com
 목록