메뉴 건너뛰기

태동 2003~2011

조회 수 615 댓글 0
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄 수정 삭제
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄 수정 삭제
MSN 메신저로 확산하는 변종 웜이 발견되었다.

원형은 비주얼 베이직으로 제작되어, 비주얼 베이직과 관련된 MSVBVM60.DLL 파일이 없을 경우 정상실행되지 않아 많은 확산이 이루어지지는 못했다.

하지만 이번 변종은 비주얼 C++ 로 제작되었고, Pespin 으로 실행압축되어 있다.

원형정보는 아래를 참고하면 된다.

원형정보 보기

파일크기는 188,928 바이트이며, MSN 메신저로 전송되어 오는 파일을 받지 않는것이 중요하고, 상대방에게 감염사실을 알려주는것이 필요하다.

2005년 2월 3일 오전 8시경부터 MSN 메신저로 빠르게 확산중에 있다.

이 웜은 MSN 메신저 사용자들(로그인상태)을 통해서 확산되며, 감염된 시스템은 MSN 메신저의 로그인된 또 다른 대화 상대에게 웜 파일을 지속적으로 전송하고 웜파일을 실행할 경우 감염된다.

전송되는 파일명들은 아래와 같다.
bedroom-thongs.pif
Hot.pif
LMAO.pif
LOL.scr
naked_drunk.pif
ROFL.pif
underware.pif
Webcam.pif
new-webcam.pif 등등




감염되면 C 드라이브에 생성된 sexy.jpg 파일을 실행하여 감염된 사용자에게 보여준다.



또한 시스템폴더와 C 드라이브에 웜파일 복사본이 생성된다.



웜파일을 수동으로 제거할려면 가장먼저 실행중인 MSN 메신저를 로그오프하거나 종료하여, 확산되는것을 차단한다.

그 다음에 실행되어 있는 아래 파일들을 제거한다.

실행되어 있을 경우 삭제가 되지 않으므로, 작업관리자등을 통해서 실행되어 있는 프로세스를 먼저 강제종료후에 해당 파일을 삭제한다.

▷ 수동조치법

Ctrl + Alt + Del 키를 눌러 Windows 작업 관리자의 프로세스에서 msnus.exe과 winhost.exe 프로세스를 강제종료하고 윈도우 시스템 폴더에서 해당 파일을 삭제하면 된다.

감염시 윈도우 시스템폴더에 생성되는 파일은 아래와 같다.

msnus.exe - 188,928 바이트
winhost.exe - 124,416 바이트(숨김속성)

msnus.exe 은 MSN 메신저 웜이며, winhost.exe 파일은 Bot 변종이다.

또한 C 드라이브에 생성된 아래 파일들도 제거한다.



레지스트리 RUN 에 자신을 등록하여 재부팅시 자동으로 실행되도록 한다.

?

위로