목록ㅣ 인쇄

VBS/Redlof@mm 바이러스 종류 Script Virus 실행환경 Win9x, Win2000, NT 발견일 2002년04월16일 제작지 불분명 위험등급 확산방법 바이러스 크기 11,160 Bytes 첨부파일 없음 메일제목 없음 증상요약 치료방법 터보백신 Ai, 터보백신 2001 또는 터보백신 Online으로 치료가능합니다. 치료후 http://www.microsoft.com/technet/treeview/default.asp? url=/technet/security/bulletin/MS00-075.asp 를 통하여 가상머신의 보안 패치를 받도록 한다.    비주얼 베이직으로 만들어 졌으며 첨부파일이 없는 메일을 통해 전파된다. C:\Program Files\Common Files\Microsoft Shared\Stationery 폴더에 blank.htm 바이러스 파일을 생성 하여, 이를 이용한 메일의 HTML코드를 통해 Microsoft VM ActiveX component vulnerability 의 취약성을 이용하 여 자동으로 .html, .htm, .asp, .php, .jsp, and .vbs 파일을 감염시킨다. 바이러스가 실행 되면 감염시 시스템 폴더(Win9x : C:\windows\system, Win2000, NT, XP : C:\Winnt\system32)에 에 kernel.dll또는 Kernel32.dll를 생성 하게 되는데 이는 윈도우 폴더에 WSCRIP.exe파일의 존재 여부에 따라 선택 되어 진다. 다음으로 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Run 항목에 Kernel32를 생성하고 다음과 같은 값을 추가 한다. c:\window\SYSTEM\Kernel32.dll 또는 c:\window\SYSTEM\Kernel.dll 또한 다음의 레지스트리 값을 설정한다. HKEY_CLASSES_ROOT\.dll\ (기본값)  dllfile Content Type  application/x-msdownload 로 셋팅(대부분 시스템의 디폴트 값) HKEY_CLASSES_ROOT\dllfile\ DefaultIcon 을 HKEY_CLASSES_ROOT\vxdfile\DefaultIcon 값으로 변경 ScriptEngine 을 VBScript로 변경 ShellEx\PropertySheetHandlers\WSHProps\ {60254CA5-953B-11CF-8C96- 00AA00B8708C}로 설정 ScriptHostEncode 을 {85131631-480C-11D2-B1F9-00C04F86C324} 로 설정 HKEY_CLASSES_ROOT\dllFile\Shell\Open\Command\ WScript.exe 파일이 존재하는 경우 (기본값) c:\Windows\WScript.exe "%1" %* 없는 경우 (기본값) c:\Windows\system32\WScript.exe "%1" %* 값 변경 무단전재ㆍ배포금지 - 에브리존에서 제공하는 모든 컨텐츠 정보에 대한 저작권은 에브리존의 소유이며 관련법의 보호를 받습니다. - 에브리존의 사전 허가 없이 에브리존 컨텐츠를 무단으로 전재, 배포를 금지되어 있습니다. - 이를 위반하는 경우 손해배상의 대상 또는 민.형사상의 법적 소송 대상이 될 수 있습니다. * 에브리존 정보 이용 문의 : greenking@everyzone.com