지난 6월 6일 Bugbear.B 웜 바이러스에 대한 주의예보가 발령되었습니다.
6월 5일에 최초 발견된 이 바이러스는 시작프로그램 폴더에 자신을 복사하고
윈도우 시스템 폴더에 키보드의 입력내용을 기록하는 키로거를 생성하며
생성된 키보드입력 자료는 암호화 하여 저장하여두고 나중에 접속할 수 있도록
하는 기능을 보유하고 있습니다.
V3등의 백신업체에서 이에대한 치료엔진을 이미 제공하고 있으니,
백신을 업데이트하시고 실시간감시를 실행하시기 바랍니다.
또한 기존의 웜들처럼 공유폴더와 메일을 통하여 전파되니, 송신자가 불명확한
메일의 첨부화일은 열어보지 않으셔야 하며, 공유폴더는 쉽게 추측하기
어려운 암호를 사용하시기 바랍니다.
---------------------[ 주의예보 발령내용 ]-------------------------------
안녕하십니까?
한국정보보호진흥원의 CERTCC-KR 입니다.
Bugbear.B 웜 바이러스 주의예보 (웜)바이러스 주의예보를발령합니다.
------------------------------------------
[바이러스 주의예보VN2003258]
☆ 개요
Bugbear.B 웜 바이러스는 6월 5일 외국에서 발견되어, 이미 국내로 유입된 것으로 확인되었다. 메일의 첨부파일과 네트워크 공유를 통해 전파되어 확산속도가 매우 빠르며, 해당 웜바이러스에 감염시 대량의 웜메일이 발송되고 여러 .exe 실행파일을 감염시켜 사용에 불편이 발생하므로 윈도우즈 사용자들의 주의가 요구된다.
☆ 전파방법
메일과 네트워크 공유(암호가 설정되지 않은 공유)를 통해 전파됨.
메일을 통해 전파되는 경우
감염된 PC에서 .DBX , .EML , INBOX , .MBX ... 등의 파일에서 메일을 발송할 메일 주소를 검색하여 웜 바이러스 메일을 발송.
제목: (다음 중 임의로 선택되어짐)
25 merchants and rising
Announcement bad news
CALL FOR INFORMATION!
click on this!
Correction of errors
Cows
Daily Email Reminder
free shipping!
empty account
fantastic
Get 8 FREE issues - no risk! hello!
Hi! history screen
I need help about script!!!
Get a FREE gift!
Greets! Interesting...
Introduction hmm..
Just a reminder its easy
Lost & Found
Market
Update Report
Membership Confirmation
My eBay ads
New bonus in your cash account
New Contests new reading
Payment notices
News Please Help...
Re: $150 FREE Bonus!
Report SCAM alert!!!
Sponsors needed
Stats Today
Only Tools For Your Online Business
update
Your News
Alert various Warning!
Your Gift wow!
본문내용 : 본문내용이 없는 경우가 많음
첨부파일 : 감염된 시스템의 "내문서" 폴더에서 임의의 파일명을 선택하고, 아래의 확장자에 .exe , .pif , .scr 등과 붙어 이중 확장자를 가짐.
reg , .ini , .bat , .diz , .txt , .cpp , .html , .htm , .jpeg , .jpg , .gif , .cpl , .dll , .vxd , .sys , .com , .exe , .bmp
< Card , Docs , image , images , music , news , photo , pics , readme , resume , Setup , song , video 등의 파일명으로 생성될 수도 있음. >
☆ 피해증상
시작폴더에 사용자가 모르는 임의의 이름을 가진 .EXE 파일이 존재
예) Windows 95/98/Me 시스템
C:WindowsStart MenuProgramsStartupCuu.exe
예) NT/2000/XP 시스템
C:Documents and SettingsStart MenuProgramsStartupCti.exe
TCP 1080 포트가 Listen 상태로 열림
백도어 역할을 하면서 공격자가 파일을 삭제하거나 프로그램 실행, 키 입력이 저장된 파일 전송, 시스템정보 유출등 여러 가지 작업을 하는데 사용됨.
5,632 bytes 크기의 DLL파일로 keylogger 프로그램이 Windows System 디렉토리에 생성되고, Windows 폴더와 Windows System 폴더에 암호화된 DLL파일, DAT파일을
추가적으로 생성하여 사용자의 키 입력을 암호화하여 저장하는데 이용됨. (생성되는 파일명은 임의로 선택되어짐.)
※ 일반적인 Windows 폴더 : c:windows, c:winnt / Windows System 폴더 c:windowssystem, c:winntsystem32
감염된 PC와 공유된 네트워크에서 다음과 같은 파일명을 찾아 감염시킴.
regedit.exe , scandskw.exe
mplayer.exe , hh.exe
notepad.exe , winhelp.exe
Internet Exploreriexplore.exe
adobeacrobat 5.0 eaderacrord32.exe
WinRARWinRAR.exe
Windows Media Playermplayer2.exe
RealRealPlayer ealplay.exe
Outlook Expressmsimn.exe
FarFar.exe
CuteFTPcutftp32.exe
AdobeAcrobat 4.0ReaderAcroRd32.exe
ACDSee32ACDSee32.exe
MSN Messengermsnmsgr.exe
WS_FTPWS_FTP95.exe
QuickTimeQuickTimePlayer.exe
StreamCastMorpheusMorpheus.exe
Zone Labs->oneAlarm->oneAlarm.exe
TrillianTrillian.exe
LavasoftAd-aware 6Ad-aware.exe
AIM95aim.exe
Winampwinamp.exe
DAPDAP.exe
ICQIcq.exe
kazaakazaa.exe
winzipwinzip32.exe
네트워크를 검색하여 공유된 시스템을 찾아 Windows Startup폴더에 웜 파일을 복 사함. 해당 웝 바이러스는 프린터와 컴퓨터를 구별하지 못하여
네트워크 공유된 프린터 queue에 부하를 줄 수도 있음.
해당 시스템을 검사하여 주요 외국산 보안제품들이 실행되고 있으면 이를 중단시킴.
ZONEALARM.EXE , WFINDV32.EXE , BLACKICE.EXE , NAVW32.EXE ...등
☆ 감염시 치료방법
백신프로그램을 최신버전으로 업데이트 한 다음 검사하여 치료한다.
백신으로 치료가 안될 경우 모든 작업관리자를 이용해 프로세스를 중단시키고 Windows StartUp폴더, Windows폴더, System 폴더 등에 생성된 파일을
삭제하거나 원래대로 수정 또는 정상적인 파일을 복사하여 복원시켜야 된다.
☆ 예방법
첨부파일이 있는 메일은 함부로 열지 않도록 하고, 제목과 내용으로 본인에게 필요한 메일인지 확인하고 최신 버전의 백신으로 업데이트 하여 먼저 검사한 뒤 사용하며, 꼭 필요한 경우가 아니면 공유를 허용하지 않도록 한다.
☆ 참조사이트
---------------------[ 주의예보 발령내용 ]-------------------------------
