(주)에브리존 :: 바이러스 · 악성코드 없는 세상

보안IT뉴스

보안권고문

보안Tip

보안처방

보안위협DB 찾기

보안위협DB찾기

목록 |

윗글 |

아랫글

W32/Nimda.57344.B@mm

바이러스 종류

Worm

실행환경

Win9x, Win2000

발견일

2002년11월14일

제작지

위험등급

확산방법

바이러스 크기

57344

첨부파일

sample.exe

메일제목

의미 없는 문자의 긴 조합

증상요약

치료방법

- 터보백신 또는 터보백신 Online으로 치료 가능하다.(터보백신으로 치료 한 경우라면 아래 * 내용은 하실 필요 없지만 한번 점검해 보시기 바란다.)

* 윈9x 계열에 감염된 경우에는 윈도우즈 폴더에 있는 system.ini 파일에서 shell=explorer.exe load.exe -dontrunold 부분을 shell=explorer.exe 로 바꾼다.

- IIS 사용자의 경우 반드시 IIS 를 종료 하시고, 패치하신 후에 치료하시 기 바란다.

- riched20.dll 이 웜에 의해서 겹쳐 써진 경우라면 치료후에 riched20.dll 파일을 윈도우즈 시스템 폴더(윈9x: \Windows\System, WinNT/2000: \WinNT\System32) 에 복사해 주시기 바란다. (riched20.dll 파 일이 겹쳐써진 경우 경우 오피스 프로그램 등의 실행시에 오류가 발생할 수 있다.)

패치방법 :

- 인터넷 익스플로어는 부정확한 MIME 헤더는 첨부파일을 열기만 해도 실행 하도록 하는 문제가 있는데, 아래 주소에서 패치를 받아 적용시키면 이를 막을 수 있다.

http://www.microsoft.com/technet/treeview/default.asp? url=/technet/security/bulletin/MS01-020.asp

- 윈도우즈 서버상에서 IIS 를 실행하는 사용자라면 반드시 아래 주소에서 Web Server Folder Traversal 보안 패치를 받아서 적용하기 바란 다.

http://www.microsoft.com/technet/treeview/default.asp? url=/technet/security/bulletin/MS01-044.asp

상세설명

10월 29일에 국내에 처음으로 신고되었으며, 외국에서 아직 발견 사례가
보고되지 않은 점으로 미루어 국내에서 변형된 바이러스로 추정되지만 아직
까지는 확실치 않다.

지금까지의 피해신고 상황으로 미루어 지난번 "님다" (W32/Nimda@mm)
바이러스와 비슷한 속도로 확산되고 있는 것으로 보인다.

"님다" 와 같이 자체적으로 메일을 발송하는 기능외에 e-메일을 열기만
해도 감염되며, W32/FunLove 와 같이 공유폴더를 통해서 감염시킬 수 있고
Worm/CodeBlue 가 사용했던 IIS Web Directory Traversal exploit 을 이용
하기
때문에 PC는 물론 서버에도 감염이 되어 급속히 확산되고 있는 것으로 보인
다.

e-메일을 열기만 해도 감염이 되므로 확산속도가 매우 빠르며, 무의미한
문자의 긴 조합으로 구성된 제목의 메일을 받았다면 열지 않도록 주의를
요한다.

"sample.exe" 로 첨부된 파일은 바이러스 자체이므로 삭제가 곧 치료이며,
일부 실행파일은 감염되기도 하며 치료 또한 가능하다.

주요 증상으로는 다른 PC의 공유 폴더에 있는 파일들을 감염시키는데,
.exe 파일들은 감염되고 .eml 과 .nws 파일들은 바이러스에 의해서 교체된
다.

웜은 .htm .html 에서 e-메일 주소를 검색하여 sample.exe 파일을 첨부한
감염된 메일을 발송하므로 시스템을 성능을 저하시키며, 이로 인해 시스템
이
다운되기도 한다.

이외에 .htm, .html, .asp 파일 뒷 부분에 웜을 실행하는 코드를 삽입하기
도
한다.

주요 증상은 원형인 W32/Nimda@mm 와 비슷하며, 단지 문자열과 생성되는
파일명을 변형한 정도이다.

내부에는 아래와 같은 문자열이 존재한다.

"Concept Virus(CV) V.6, Copyright(C)2001, (This''''s CV, No Nimda.)"

예방 및 수동조치방법