(주)에브리존 :: 바이러스 · 악성코드 없는 세상

보안IT뉴스

보안권고문

보안Tip

보안처방

보안위협DB 찾기

보안위협DB찾기

목록 |

윗글 |

아랫글

VBS/Redlof@mm

바이러스 종류

Script Virus

실행환경

Win9x, Win2000, NT

발견일

2002년04월16일

제작지

불분명

위험등급

확산방법

바이러스 크기

11,160 Bytes

첨부파일

없음

메일제목

없음

증상요약

치료방법

터보백신 Ai, 터보백신 2001 또는 터보백신 Online으로 치료가능합니다.

치료후 http://www.microsoft.com/technet/treeview/default.asp?
url=/technet/security/bulletin/MS00-075.asp
를 통하여 가상머신의 보안 패치를 받도록 한다.

상세설명

비주얼 베이직으로 만들어 졌으며 첨부파일이 없는 메일을 통해 전파된다.
C:\Program Files\Common Files\Microsoft Shared\Stationery 폴더에
blank.htm 바이러스 파일을 생성 하여, 이를 이용한 메일의 HTML코드를
통해 Microsoft VM ActiveX component vulnerability 의 취약성을 이용하
여 자동으로 .html, .htm, .asp, .php, .jsp, and .vbs 파일을 감염시킨다.

바이러스가 실행 되면 감염시 시스템 폴더(Win9x : C:\windows\system,
Win2000, NT, XP : C:\Winnt\system32)에
에 kernel.dll또는 Kernel32.dll를 생성 하게 되는데 이는 윈도우 폴더에
WSCRIP.exe파일의 존재 여부에 따라 선택 되어 진다.

다음으로 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run 항목에 Kernel32를 생성하고 다음과 같은 값을 추가 한다.

c:\window\SYSTEM\Kernel32.dll 또는 c:\window\SYSTEM\Kernel.dll

또한 다음의 레지스트리 값을 설정한다.

HKEY_CLASSES_ROOT\.dll\
(기본값) dllfile
Content Type application/x-msdownload 로 셋팅(대부분 시스템의 디폴트
값)

HKEY_CLASSES_ROOT\dllfile\
DefaultIcon 을 HKEY_CLASSES_ROOT\vxdfile\DefaultIcon 값으로 변경
ScriptEngine 을 VBScript로 변경
ShellEx\PropertySheetHandlers\WSHProps\ {60254CA5-953B-11CF-8C96-
00AA00B8708C}로 설정
ScriptHostEncode 을 {85131631-480C-11D2-B1F9-00C04F86C324} 로 설정

HKEY_CLASSES_ROOT\dllFile\Shell\Open\Command\

WScript.exe 파일이 존재하는 경우
(기본값) c:\Windows\WScript.exe "%1" %*
없는 경우
(기본값) c:\Windows\system32\WScript.exe "%1" %* 값 변경

예방 및 수동조치방법