보안IT뉴스 보안권고문 보안Tip 보안처방 보안통신 보안용어 보안백신메일 보안캘린더
보안위협DB 찾기
보안칼럼
에브리존 Zip에브리존 See에브리존 FTP

  보안IT뉴스
  보안권고문
  보안Tip
  보안처방
  보안통신
  보안용어
  보안백신메일
  보안캘린더
  보안위협DB찾기
  보안칼럼

   보안위협DB찾기
   
  
 목록 |  윗글 |  아랫글  
W32/Boostab.B
 바이러스 종류
Window File Virus
 실행환경
Win9x, Win2000, NT
 발견일
2002년10월30일
 제작지
불분명
 위험등급
 확산방법
 바이러스 크기
233,984 Bytes
 첨부파일
 메일제목
  
 증상요약
  
 치료방법

터보백신 Ai 터보백신 2001 또는 터보백신 Online으로 치료가능합니다.


메일로도 전파 될 수 있으므로 치료후 인터넷 익스플로러 6.0으로 업그래이
드 하거나 다음과 같이 아웃룩을 패치 합니다.

< Outlook Express >

http://www.microsoft.com/windows/ie/downloads/critical/q290108/default

.asp

< Outlook 2000 >
http://office.microsoft.com/korea/downloads/2000/outlctlx.aspx

< Outlook 2002(Office XP) >
http://office.microsoft.com/korea/downloads/2002/OLK1003.aspx




  
 
상세설명
실행 파일을 감염시키는 W32/Nimda@MM과 비슷한 방식으로
파일을 감염시키며 메일과 KaZaA, eDonkey2000 등의 P2P 프로그램을 통해
전파 된다.
바이러스의 본체는 볼랜드사의 델파이로 작성 되었으며 바이러스를 실행 하
면 다음과 같은 파일이 윈도우 폴더(Win 9x : c:\windows, Win2000 :
C:\Winnt) 생성 한다.

appboost.exe
appboost.reg
appboost.vbs
appbsvc.exe

appbsvc.exe 파일은 응용프로그램이 감염된 것이며, 바이러스의 본체인
appboost.exe파일은 다음과 같이 레지스트리에 등록되어 파일을 실행 할때
바이러스가 먼저 실행 되도록 조작한다.

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile\shell\open\command

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\cmdfile\shell\open\command

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\piffile\shell\open\command

각 각 항목에

Win 9x의 경우 : c:\windows\appboost.exe "%1" %*
Win 2000의 경우 : c:\windows\appboost.exe "%1" %*


HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile\shell\open\command
항목에
Win 9x의 경우 : c:\windows\appboost.exe "%1"/S %*
Win 2000의 경우 : c:\windows\appboost.exe "%1"/S %*


HKEY_LOCAL_MACHINE\Microsoft\Windows\CurrentVersion\Run
항목에

Win 9x의 경우 : (기본값) regedit.exe /s appboost.reg
Win 2000의 경우 : (기본값) regedit.exe /s appboost.reg


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunService
s
항목에

Win 9x의 경우 : (기본값) regedit.exe /s appboost.reg
Win 2000의 경우 : (기본값) regedit.exe /s appboost.reg

감염되는 파일은 레지스트리를 변경하는 bat, scr, exe, pif, com 등의 확
장자를 가지는 파일들이며, 한글 윈도우 시스템중 주로 2000 계열에서 윈도
우 시스템 파일에 감염될 경우 정상적으로 부팅되지 않는 현상도 발생하였
다.

참고적으로 이 바이러스의 원형은 다음과 같은 프로그램의 프로세스를 종
료 하는 기능을 가지고 있으며, 변종도 같은 기능을 가지고 있을 것으로 추
측 된다.

AVP32
AVPCC
ZONEALARM
WEBTRAP
NOD32
SWEEP95
AVSYNMGR
PCCWIN98
NRESQ32
IOMON98
NSCHED32
AVPTC
LUCOMSERVER
NSCHEDNT
AVE32
IAMAPP
NSPLUGIN
AVCONSOL
ATRACK
NAV
FP-WIN
IAMSERV
NAVAPSVC
DVP95
PCFWALLICON
NAVAPW32
F-AGNT95
TDS2-98
NAVLU32
CLAW95
TDS2-NT
NAVRUNR
NVC95
VSECOMR
NAVW32
SCAN
NISSERV
AVPM
VIRUS
NISUM
ALERTSVC
LOCKDOWN2000
F-PROT
AMON
NORTON
AOL
MCAFEE
AVPCC
ANTIVIR
AVPM
FIREWAL
N32SCANW
VET95
NAVWNT
SAFEWEB
ANTIVIR
WEBSCANX
AVPUPD
ICMON
AVGCTRL
CFINET
AVWIN95
AVP.EXE
SCAN32
VSHWIN32
AMON.EXE
F-STOPW
PCCIOMON
F-PROT95
PCCMAIN
ACKWIN32
POP3TRAP
 
예방 및 수동조치방법
무단전재ㆍ배포금지
에브리존에서 제공하는 모든 컨텐츠 정보에 대한 저작권은 에브리존의 소유이며 관련법의 보호를 받습니다.
에브리존의 사전 허가 없이 에브리존 컨텐츠를 무단으로 전재, 배포를 금지되어 있습니다.
이를 위반하는 경우 손해배상의 대상 또는 민.형사상의 법적 소송 대상이 될 수 있습니다.
* 에브리존 정보 이용 문의 : greenking@everyzone.com
 목록