보안IT뉴스 보안권고문 보안Tip 보안처방 보안통신 보안용어 보안백신메일 보안캘린더
보안위협DB 찾기
보안칼럼
에브리존 Zip에브리존 See에브리존 FTP

  보안IT뉴스
  보안권고문
  보안Tip
  보안처방
  보안통신
  보안용어
  보안백신메일
  보안캘린더
  보안위협DB찾기
  보안칼럼

   보안위협DB찾기
   
  
 목록 |  윗글 |  아랫글  
W32/Boostap.409608@mm
 바이러스 종류
Worm
 실행환경
Win 9x, Win2000, NT
 발견일
2002년09월17일
 제작지
불분명
 위험등급
 확산방법
 바이러스 크기
409,608 Bytes
 첨부파일
TvTool.exe(약 175,112 Byte) 외 다수
 메일제목
  New Version of TvTool. 외 다수
 증상요약
  
 치료방법

터보백신 2001 또는 터보백신 Online으로 치료가능합니다.

치료후 인터넷 익스플로러 6.0으로 업그래이드 하거나
다음과 같이 아웃룩을 패치 합니다.

< Outlook Express >

http://www.microsoft.com/windows/ie/downloads/critical/q290108/default
.asp

< Outlook 2000 >
http://office.microsoft.com/korea/downloads/2000/outlctlx.aspx

< Outlook 2002(Office XP) >
http://office.microsoft.com/korea/downloads/2002/OLK1003.aspx

  
 
상세설명
부정확한 MIME 헤더를 이용하여 E-mail첨부를 실행하도록 야기하는 보안 버
그를 이용한
웜으로 이메일을 통해 전파되며 KaZaa(P2P 프로그램) 프로그램과 IRC 등으
로도 전파된다.
또한 다음과 같은 파일에서 메일주소를 추출하여
자체 SMTP 엔진을 이용하여 웜바이러스가 첨부된 메일을 발송한다.

*.abd, *.dot, *.rtf, *.log, *.txt, *.tbb , *.wab,

또한 웜이 실행되면 다음과 같이 레지스트리의 기본값을 변경하여 파일을
실행 할때
마다 웜이 실행 되도록 조작한다.

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command 항목에
c:\Winnt\appboost.exe "%1" %*

그리고 웜 본체를 윈도우 폴더(C:\Winnt)에 숨김 및 시스템, 읽기 전용 속
성을 주어
Appboost.exe로 복사 한다.


메일제목은 아래의 리스트에서 조합된다.

A nice Screensaver of
Ein netter Screensaver von (Translated: A nice Screensaver of)
New Version of
Eine neue Version von (Translated: New Version of)

뒤에 첨가되는 문장은 다음과 같다.

BestTool
Pamela Anderson
Angelina Jolie
Anna Kournikova
Porn Screensaver
Sex ScreenSaver
Flashget
Flashget
WarezBoardAccess
TvTool
Undelivarable Email
Brute Force Tool

확인 된 첨부 파일은 다음과 같은 이름에서 선택 된다.

AnnaKournikova.scr
BestTool.exe
FlashGet.exe
Jolie.scr
FreeSex.exe  
WarezBoardAccess.exe
Undelivarablemail.exe
PamAnderson.scr
TvTool.exe
vertrag.exe
XXX.scr

웜이 실행 되면 감염된 컴퓨터에 다음과 같은 프로세스가 발견되면 강제 종
료 시킨다.

AVP32          
AVPCC          
ZONEALARM
WEBTRAP
NOD32          
SWEEP95        
AVSYNMGR          
PCCWIN98        
NRESQ32        
IOMON98        
NSCHED32        
AVPTC          
LUCOMSERVER
NSCHEDNT        
AVE32          
IAMAPP
NSPLUGIN        
AVCONSOL        
ATRACK
NAV            
FP-WIN          
IAMSERV
NAVAPSVC        
DVP95          
PCFWALLICON
NAVAPW32        
F-AGNT95        
TDS2-98
NAVLU32        
CLAW95          
TDS2-NT
NAVRUNR        
NVC95          
VSECOMR
NAVW32          
SCAN            
NISSERV
AVPM            
VIRUS          
NISUM
ALERTSVC        
LOCKDOWN2000    
F-PROT
AMON            
NORTON          
AOL
AVP32          
MCAFEE
AVPCC          
ANTIVIR
AVPM            
FIREWAL
N32SCANW        
VET95
NAVWNT          
SAFEWEB
ANTIVIR        
WEBSCANX
AVPUPD          
ICMON
AVGCTRL        
CFINET
AVWIN95        
AVP.EXE
SCAN32          
VSHWIN32        
AMON.EXE
F-STOPW        
PCCIOMON
F-PROT95        
PCCMAIN
ACKWIN32        
POP3TRAP
 
예방 및 수동조치방법
무단전재ㆍ배포금지
에브리존에서 제공하는 모든 컨텐츠 정보에 대한 저작권은 에브리존의 소유이며 관련법의 보호를 받습니다.
에브리존의 사전 허가 없이 에브리존 컨텐츠를 무단으로 전재, 배포를 금지되어 있습니다.
이를 위반하는 경우 손해배상의 대상 또는 민.형사상의 법적 소송 대상이 될 수 있습니다.
* 에브리존 정보 이용 문의 : greenking@everyzone.com
 목록