게시판 뷰
게시판 뷰페이지
Win32/Smibag.worm.163840 웜 바이러스 예보
작성자 박종욱
날짜 2003.09.26
조회수 4,838

1. 현황

Win32/Smibag.worm. 163840은 MSN Messenger의 온라인 사용자에게 SMB.EXE 파일이 전파
되며 성인 사이트 광고 목적으로 제작된 것으로 보인다.

2. 감염/피해 대상자

Windows NT/2000/XP 사용자 - 성인사이트 접속
Windows 98/ME 사용자 - 메신저 및 시스템 강제 종료

3. 전파 및 피해 증상

  • 웜은 MSN Messenger 로 SMB.EXE(163,840 바이트) 란 파일명으로 전파
  • 사용자가 다른 상대방으로부터 온 파일을 받는 창에서 파일을 받은 후 실행하면 MSN
    Messenger 에 등록된 사용자중 온라인 사용자들에게 자신을 전파
  • 압축이 해제된 파일들은 C:\ 와 윈도우 시스템 폴더에 복사된 후 레지스트리에 자신을
    추가하여 성인 사이트 웹 페이지를 띄우는것으로 추정
  • C 드라이브 루트(C:\)에 다음 파일을 만듦
    - smb.exe : 웜 본체
    - admagic.exe(90,112 바이트) : 트로이목마
    - test.txt (테스트에 0 바이트)
  • 윈도우 시스템 폴더(일반적으로 C:\WINT\System32, C:\Windows\System32 )에
    다음 파일이 만듦
    - atl.dll ( 69,632 바이트 )
    - raw32x.dll ( 121 바이트 )
    - sm.dll ( 57,344 바이트 )
    - uz.exe ( 50,688 바이트 ) : 압축을 푸는 정상 파일

4. 대응방침

  • 예방 방법
    MSN 메신저로 SMB.EXE 파일이 메신저에 등록된 사람중에서 보내보면 절대로 "수락" 을
    해서는 안된다.
  • 수동 제거 방법(Window 2000,XP)
    i)'Ctrl+Alt+Delete'동시에 눌러 작업 관리자를 띄움
    ii)'프로세스'를 선택
    iii)이미지 이름에서 admagic.exe를 강제 종료
    iv)C 드라이브 루트(C:>)에서 smb.exe , admagic.exe파일 삭제
    v)레지스트리 편집기(Regedit)를 실행하여 'svchost = admagic.exe '값 삭제
  • HKEY_LOCAL_MACHINE\
    SOFTWARE\
    Microsoft\
    Windows\
    CurrentVersion\
    Run svchost = admagic.exe <- 삭제
  • 수동 제거 방법(Window 98)
    i)'Ctrl+Alt+Delete'동시에 눌러 프로그램 종료를 띄움
    ii)작은 윈도우내에 admagic.exe를 선택한 후 작업 종료
    iii)이하 수동 제거 방법(Window 2000,XP)와 동일
  • 자동 제거 방법(바이로봇) - 26일 18시부터 서비스 제공
    i)백신 프로그램(바이로봇)을 업데이트
    ii)백신 프로그램으로 검사

5. 문의 (정보통신원 시스템운영과)

  • 서울 캠퍼스 : 2989
  • 천안 캠퍼스 : 1723