1. 현황 Win32/Smibag.worm. 163840은 MSN Messenger의 온라인 사용자에게 SMB.EXE 파일이 전파 되며 성인 사이트 광고 목적으로 제작된 것으로 보인다. 2. 감염/피해 대상자 Windows NT/2000/XP 사용자 - 성인사이트 접속 Windows 98/ME 사용자 - 메신저 및 시스템 강제 종료 3. 전파 및 피해 증상 - 웜은 MSN Messenger 로 SMB.EXE(163,840 바이트) 란 파일명으로 전파
- 사용자가 다른 상대방으로부터 온 파일을 받는 창에서 파일을 받은 후 실행하면 MSN
Messenger 에 등록된 사용자중 온라인 사용자들에게 자신을 전파
- 압축이 해제된 파일들은 C:\ 와 윈도우 시스템 폴더에 복사된 후 레지스트리에 자신을
추가하여 성인 사이트 웹 페이지를 띄우는것으로 추정
- C 드라이브 루트(C:\)에 다음 파일을 만듦
- smb.exe : 웜 본체 - admagic.exe(90,112 바이트) : 트로이목마 - test.txt (테스트에 0 바이트)
- 윈도우 시스템 폴더(일반적으로 C:\WINT\System32, C:\Windows\System32 )에
다음 파일이 만듦 - atl.dll ( 69,632 바이트 ) - raw32x.dll ( 121 바이트 ) - sm.dll ( 57,344 바이트 ) - uz.exe ( 50,688 바이트 ) : 압축을 푸는 정상 파일
4. 대응방침 - 예방 방법
MSN 메신저로 SMB.EXE 파일이 메신저에 등록된 사람중에서 보내보면 절대로 "수락" 을 해서는 안된다.
- 수동 제거 방법(Window 2000,XP)
i)'Ctrl+Alt+Delete'동시에 눌러 작업 관리자를 띄움 ii)'프로세스'를 선택 iii)이미지 이름에서 admagic.exe를 강제 종료 iv)C 드라이브 루트(C:>)에서 smb.exe , admagic.exe파일 삭제 v)레지스트리 편집기(Regedit)를 실행하여 'svchost = admagic.exe '값 삭제
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run svchost = admagic.exe <- 삭제 - 수동 제거 방법(Window 98)
i)'Ctrl+Alt+Delete'동시에 눌러 프로그램 종료를 띄움 ii)작은 윈도우내에 admagic.exe를 선택한 후 작업 종료 iii)이하 수동 제거 방법(Window 2000,XP)와 동일
- 자동 제거 방법(바이로봇) - 26일 18시부터 서비스 제공
i)백신 프로그램(바이로봇)을 업데이트 ii)백신 프로그램으로 검사 5. 문의 (정보통신원 시스템운영과) - 서울 캠퍼스 : 2989
- 천안 캠퍼스 : 1723
|
- 공지사항 등 게시판의 게시 내용에 대한 문의는 해당 게시물에 표기된 연락처나 담당부서(VOC)로 문의해 주시기 바랍니다.