목록ㅣ 인쇄

W32/PiBi.B@mm 바이러스 종류 Worm 실행환경 Win9x, Win2000, NT 발견일 2002년11월01일 제작지 불분명 위험등급 확산방법 바이러스 크기 32,256 Bytes 첨부파일 install.exe 메일제목 Re:hya, WindowsXP Service Release Pack 2.002 증상요약 치료방법 터보백신 Ai, 터보백신 2001 또는 터보백신 Online으 로 치료가능합니다. < Outlook Express > - http://www.microsoft.com/windows/ie/downloads/crit ical/q323759ie/defau lt.asp < Outlook 2000 > - http://office.microsoft.com/korea/downloads/2000/O ut2ksec.aspx < Outlook 2002(Office XP) > - http://office.microsoft.com/korea/Downloads/2002/o xpsp2.aspx    W32/Pibi@mm의 변형으로 감염된 이메일의 첨부 파일 과, KazaA, IRC를 통해 전파 된다. 마이크로 소프트 비주얼 C++로 코딩되어 있으며, UPX 압축프로그램으로 압축되 있다. 부정확한 MIME 헤더를 이용하여 E-mail첨부파일을 실 행하도록 야기하는 보안 버그를 이용하므로 메일을 클 릭 하는 것만으로 감염될 수 있다. 메일 본문은 다음과 같다. Istall the program in the attachment. 파일이 실행되면 윈도우의 시스템 폴더(win9x : c:\windows\system, Win2000 : c:\Winnt\system32)에 WSYXXX.exe를 생성한다.(XXX : 랜덤한 숫자) HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run 항목에 Win9x 인 경우 : Kernel32.dll module  = c:\windows\system\WSYSXXX.EXE Win2000 인경우: Kernel32.dll module  = c:\winnt\system32\WSYSXXX.EXE (XXX : 랜덤한 숫자) HKEY_LOCAL_MACHINEN\Software\PieceByPieceB\inf 항목에 yep 또한 C:\ 루트에 boot64.bin을 생성 하기도 하는데 이 파일은 base64로 압 축되어 있는 바이러스 본체 파일로 감염된 메일을 보 낼때 사용한다. 첨부된 파일을 실행 하면 다음과 같은 에러 메시지를 띄우며, 실행할수 없 는 것처럼 위장한다.   Error! This process will be terminated. 10월 18일에 다음과 같은 메시지 창을 띄운다.   "Sucking back a cigarette   Thinking about new regrets   Trying to be someone you'd like to be   Passing faces on the road   Where the hell can we still go?   Leaves us open to temptation..."            -Feeder 또한 다음 문자열을 가진 특정 안티 바이러스의 프로 세스를 중지시키는 기 능을 가지고 있는 것으로 보인다. AV F- av NOD32 SCAN MON ALERT ANTIVIR PCCW PCC FP- TRAP TDS2- VET SWEEP MCAFEE FIREW DVP CFI ICL VSHW 무단전재ㆍ배포금지 - 에브리존에서 제공하는 모든 컨텐츠 정보에 대한 저작권은 에브리존의 소유이며 관련법의 보호를 받습니다. - 에브리존의 사전 허가 없이 에브리존 컨텐츠를 무단으로 전재, 배포를 금지되어 있습니다. - 이를 위반하는 경우 손해배상의 대상 또는 민.형사상의 법적 소송 대상이 될 수 있습니다. * 에브리존 정보 이용 문의 : greenking@everyzone.com