PC 세이퍼 - 바이러스와 악성코드를 한번에 퇴치!

PC세이퍼 빠른 메뉴

PC세이퍼 메뉴 안내

PC세이퍼 홈

로그인 (유료사용자)

프로그램 소개

프로그램 가이드

- 구매방법

- 상품권결제

- 자동결제 취소

- 검사ㆍ치료방법

- 환경설정

- 파일복원

- 보안칼럼

- 공지사항

- 1:1상담

[리스트로]

바이러스 이름	W32/Nimda.57344.B@mm	바이러스 종류	Worm
실행 환경	Win9x, Win2000	제작지
발견일	20021114	바이러스크기	57344
메일 제목	의미 없는 문자의 긴 조합
첨부파일	sample.exe
바이러스 증상
10월 29일에 국내에 처음으로 신고되었으며, 외국에서 아직 발견 사례가 보고되지 않은 점으로 미루어 국내에서 변형된 바이러스로 추정되지만 아직 까지는 확실치 않다. 지금까지의 피해신고 상황으로 미루어 지난번 "님다" (W32/Nimda@mm) 바이러스와 비슷한 속도로 확산되고 있는 것으로 보인다. "님다" 와 같이 자체적으로 메일을 발송하는 기능외에 e-메일을 열기만 해도 감염되며, W32/FunLove 와 같이 공유폴더를 통해서 감염시킬 수 있고 Worm/CodeBlue 가 사용했던 IIS Web Directory Traversal exploit 을 이용 하기 때문에 PC는 물론 서버에도 감염이 되어 급속히 확산되고 있는 것으로 보인 다. e-메일을 열기만 해도 감염이 되므로 확산속도가 매우 빠르며, 무의미한 문자의 긴 조합으로 구성된 제목의 메일을 받았다면 열지 않도록 주의를 요한다. "sample.exe" 로 첨부된 파일은 바이러스 자체이므로 삭제가 곧 치료이며, 일부 실행파일은 감염되기도 하며 치료 또한 가능하다. 주요 증상으로는 다른 PC의 공유 폴더에 있는 파일들을 감염시키는데, .exe 파일들은 감염되고 .eml 과 .nws 파일들은 바이러스에 의해서 교체된 다. 웜은 .htm .html 에서 e-메일 주소를 검색하여 sample.exe 파일을 첨부한 감염된 메일을 발송하므로 시스템을 성능을 저하시키며, 이로 인해 시스템 이 다운되기도 한다. 이외에 .htm, .html, .asp 파일 뒷 부분에 웜을 실행하는 코드를 삽입하기 도 한다. 주요 증상은 원형인 W32/Nimda@mm 와 비슷하며, 단지 문자열과 생성되는 파일명을 변형한 정도이다. 내부에는 아래와 같은 문자열이 존재한다. "Concept Virus(CV) V.6, Copyright(C)2001, (This''''s CV, No Nimda.)"
치료 방법	- 터보백신 또는 터보백신 Online으로 치료 가능하다.(터보백신으로 치료 한 경우라면 아래 * 내용은 하실 필요 없지만 한번 점검해 보시기 바란다.) * 윈9x 계열에 감염된 경우에는 윈도우즈 폴더에 있는 system.ini 파일에서 shell=explorer.exe load.exe -dontrunold 부분을 shell=explorer.exe 로 바꾼다. - IIS 사용자의 경우 반드시 IIS 를 종료 하시고, 패치하신 후에 치료하시 기 바란다. - riched20.dll 이 웜에 의해서 겹쳐 써진 경우라면 치료후에 riched20.dll 파일을 윈도우즈 시스템 폴더(윈9x: \Windows\System, WinNT/2000: \WinNT\System32) 에 복사해 주시기 바란다. (riched20.dll 파 일이 겹쳐써진 경우 경우 오피스 프로그램 등의 실행시에 오류가 발생할 수 있다.) 패치방법 : - 인터넷 익스플로어는 부정확한 MIME 헤더는 첨부파일을 열기만 해도 실행 하도록 하는 문제가 있는데, 아래 주소에서 패치를 받아 적용시키면 이를 막을 수 있다. http://www.microsoft.com/technet/treeview/default.asp? url=/technet/security/bulletin/MS01-020.asp - 윈도우즈 서버상에서 IIS 를 실행하는 사용자라면 반드시 아래 주소에서 Web Server Folder Traversal 보안 패치를 받아서 적용하기 바란 다. http://www.microsoft.com/technet/treeview/default.asp? url=/technet/security/bulletin/MS01-044.asp
직접치료방법