보안IT뉴스 보안권고문 보안Tip 보안처방 보안통신 보안용어 보안백신메일 보안캘린더
보안위협DB 찾기
보안칼럼
에브리존 Zip에브리존 See에브리존 FTP

  보안IT뉴스
  보안권고문
  보안Tip
  보안처방
  보안통신
  보안용어
  보안백신메일
  보안캘린더
  보안위협DB찾기
  보안칼럼

   보안위협DB찾기
   
  
 목록 |  윗글 |  아랫글  
Worm-W32/SMB.163840
 바이러스 종류
Worm
 실행환경
9x, 2000, nt, xp
 발견일
2003년09월26일
 제작지
한국으로 추정
 위험등급
 확산방법
 바이러스 크기
163840 Byte
 첨부파일
SMB.exe
 메일제목
  MSN 을 통해 전파됨
 증상요약
  
 치료방법

터보백신 Ai, 터보백신 2001 또는 터보백신 Online으로 치료
가능 합니다.

  
 
상세설명
MSN 메신저를 통해 2003/09/26 현재 급속히 SMB.exe 파일이 전파되고있다.
실행 할 경우, MSN 에 등록된 주소로 자동으로 재전송한다.

MSN 메신저를 통해 전송된 SMB.exe 파일을 받아 실행하게되면,
admagic.exe, msnVC.exe, raw32x.dll, sm.dll 이 생성된다.

SMB.exe 자체 적으로 uz.exe 라는 Mini unzip 프로그램을 내장하여 파일들을 해제하게된다. 해제된 파일은 C: 루트 폴더로 이동되며, 레지스트리에 사이트주소등과 레즈스트리에 등록되어 윈도우 시작시 실행된다.

sm.dll 파일이 로드되면, 자체 스크립트가 실행되어 IE(인터넷익스플로러) 가 실행될때 동시에 실행되도록 한다.

[레지스트리 값]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
항목에
svchost = c:\Admagic.exe 를 등록한다.

바이러스 파일 내부에 다음의 주소가 내장되어 무작위적으로 접속을 시도한다.

http://sexwal.porno10000hwa.com/?i=8    
http://www.asiasex.jp/?pip=sexwal  
http://realbozi.com/code.php?p=sexwal&i=2  
http://www.sex-korea.cn/?pip=sexwal
http://hiddensex.jp/index5.php?code=sexwal  
http://hyeyoungnude.com/?p=sexwal&i=10  
http://www.say0303.com/index.php?code=030317077111&intro=&adult_pass=  
http://erosasia.com/index.cgi?ID=1244275    
http://sseng10tv.com/index.asp?ID=7693387  

바이러스 내부에 다음과 같은 문자열을 가진다.
a d m a g i c     H e l l o   W o r l d !    
A D M A G I C
 
예방 및 수동조치방법
1. Crtl+Alt+Del 키를 누르면 프로세스 목록을 확인 할 수 있다.

admagic.exe 가 있다면 강제종료한다.



2. C: 루트 디렉토리의 smb.exe, admagic.exe 를 삭제한다.



3. [시작]-[실행]에서 Regedit.exe 실행 후,

다음의 키 값을 삭제한다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

항목에

svchost = c:\Admagic.exe 값 삭제
무단전재ㆍ배포금지
에브리존에서 제공하는 모든 컨텐츠 정보에 대한 저작권은 에브리존의 소유이며 관련법의 보호를 받습니다.
에브리존의 사전 허가 없이 에브리존 컨텐츠를 무단으로 전재, 배포를 금지되어 있습니다.
이를 위반하는 경우 손해배상의 대상 또는 민.형사상의 법적 소송 대상이 될 수 있습니다.
* 에브리존 정보 이용 문의 : greenking@everyzone.com
 목록