이 웜은 Worm-W32/Sasser.15872 처럼 마이크로 소프트 사에서 발표한
2004년 4월 보안 패치중 MS04-011 패치가 안된 컴퓨터를 대상으로 작동 한다.
해외에서 5월 18일 부터 전파되기 시작 하였으며 TCP 445번 포트의 이상 트레픽을 일으킨다.
또한 TCP 445번 을 이용하여 타겟의 버퍼 오버런을 발생 하고, 감염된 시스템은 HTTP 서버가
된다.
그리고 일부 시스템에서는 인터넷 익스플로러 사용시 페이지를 찾을수 없다는 메시지와 함께
웹 서핑이 어려워지기도 한다.
[특징]
MS04-011 패치가 안된 시스템을 찾기 위해 감염된 시스템으로부터
TCP 5000 포트를 이용, 임의의 IP 대역으로 접속을 시도 하며, 취약점 시스템을 발견할 경우
svc.exe(22,528byte) 파일을 다운로드 시키고 ~(숫자).tmp (ex : ~1.tmp, ~4.tmp 등등)을
생성하여 explore 에 inject 시킨다.
그리고 윈도우의 시스템 폴더(win 2000, NT : c:\Winnt\system32, Win XP : c;\windows\system32)에
(랜덤 파일명).exe 웜 파일이 만들어 진다.
(ex : ujlzzdgh.exe )
또한, 다음처럼 레지스트를 수정하여 다음 부팅시 실행되도록 조작한다.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 항목에
에브리존에서 제공하는 모든 컨텐츠 정보에 대한 저작권은 에브리존의 소유이며 관련법의 보호를 받습니다.
에브리존의 사전 허가 없이 에브리존 컨텐츠를 무단으로 전재, 배포를 금지되어 있습니다.
이를 위반하는 경우 손해배상의 대상 또는 민.형사상의 법적 소송 대상이 될 수 있습니다.
* 에브리존 정보 이용 문의 : greenking@everyzone.com
