리눅스 분류
[주의] BIHUP 웜 바이러스
작성자 정보
- 김선달 작성
- 작성일
컨텐츠 정보
- 1,294 조회
- 0 추천
- 목록
본문
안녕하세요.
한국 정보보호진흥원 CERTCC-KR 입니다.
8월 6일 외국에서 발견된 BIHUP 웜 바이러스는, 아직 국내로의 유입 여부는 확인되지 않았으나
전파속도가 빠르고, Heddink, RedDevil 등 첨부파일 및 출력되는 메세지들이 월드컵이나 한국과 관련 돼
무심코 열어 볼 가능성이 있으므로 주의가 요구됩니다.
[주의] BIHUP 웜 바이러스
□ 전파방법 및 피해 증상
전파방법
다음과 같은 형식으로 전파된다.
보낸사람 : 메일함에서 읽지 않은 상태로 있는 메일의 원래 발송자
제 목 : 한국어로 작성
본 문 : 한국어로 작성
첨부파일 : Heddink.exe , Go Korea.exe , RedDevil.exe , WorldCup.exe , 2002.exe
보낸사람 : 메일함에서 읽지 않은 상태로 있는 메일의 원래 발송자
제 목 : 한국어로 작성
본 문 : 한국어로 작성
첨부파일 : Heddink.exe , Go Korea.exe , RedDevil.exe , WorldCup.exe , 2002.exe
피해증상
- Windwos 디렉토리에 Krn32Dll.exe 파일생성
- Windows system 디렉토리에 다음 중 하나의 파일이 랜덤하게 생성
User32Rem.exe
UserGDL.exe
BihUpdate.exe
SysRtw2.exe
Win32.Dll.exe
MsCrt32.exe
Temp32.exe
UserGDL.exe
BihUpdate.exe
SysRtw2.exe
Win32.Dll.exe
MsCrt32.exe
Temp32.exe
- 레지스트리 추가
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRunExplorer32 = “%System%<Worm Filename>”
※ Windows System 폴더 기본 위치
Windows 95/98/Me C:WindowsSystem
Windows NT/2000 C:WinntSystem32
Windows XP C:WindowsSystem32
Windows 95/98/Me C:WindowsSystem
Windows NT/2000 C:WinntSystem32
Windows XP C:WindowsSystem32
- 특정일 활동 (시스템 날짜)
6월 : “Here We Go! World Cup Corea!”메시지 출력
11월 : 마우스의 오른쪽,왼쪽 버튼의 기능이 서로 바뀌는 현상 발생
12월 : 마우스커서가 화면 전체에 걸쳐 생기는 현상 발생
1월1일 : 마우스 커서의 움직임이 제한되는 현상 발생
7월7일 : 화면이 특정 위치에서 마우스커서가 움직이지 않는 현상 발생
11월 : 마우스의 오른쪽,왼쪽 버튼의 기능이 서로 바뀌는 현상 발생
12월 : 마우스커서가 화면 전체에 걸쳐 생기는 현상 발생
1월1일 : 마우스 커서의 움직임이 제한되는 현상 발생
7월7일 : 화면이 특정 위치에서 마우스커서가 움직이지 않는 현상 발생
목요일마다 : 메일함에“Message From A”라는 타이틀이 생김
□ 대응방법
- 예방법
첨부파일이 아래와 같은 메일을 받으면, 실행하지 말고 메일을 바로 삭제한다.
Heddink.exe , Go Korea.exe , RedDevil.exe , WorldCup.exe , 2002.exe
첨부파일이 아래와 같은 메일을 받으면, 실행하지 말고 메일을 바로 삭제한다.
Heddink.exe , Go Korea.exe , RedDevil.exe , WorldCup.exe , 2002.exe
- 치료방법
최신버전의 백신으로 치료한다. 치료가 안될 경우 아래의 수동방법으로, 레지스트리 편집을 통해 웜과 관련된 파일을 삭제하고
레지스트리 값을 수정해 주어야 한다.
1. Windows System 폴더와 Windwos 폴더에 생성된 웜 파일들을 찾아 삭제한다.
2. 레지스트리 편집기를 이용하여 아래의 경로에 존재하는 데이터를 삭제한다.
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun 경로에서
Explorer32 = “%System%<Worm Filename>”
3. 시스템 재부팅 후 백신으로 다시 검사해서 완전히 치료되었는지 확인한다.
1. Windows System 폴더와 Windwos 폴더에 생성된 웜 파일들을 찾아 삭제한다.
2. 레지스트리 편집기를 이용하여 아래의 경로에 존재하는 데이터를 삭제한다.
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun 경로에서
Explorer32 = “%System%<Worm Filename>”
3. 시스템 재부팅 후 백신으로 다시 검사해서 완전히 치료되었는지 확인한다.
□ 백신 다운로드 및 참고 사이트
관련자료
-
이전
-
다음
댓글 0
등록된 댓글이 없습니다.