네트워크의 모든 컴퓨터가 인터넷이 안되요?

일부 보안 관련 프로그램을 종료함

특정 사이트에 접속하여 추가로 악성 파일을 다운로드함

보안관련 사이트 접속을 차단함

 

출처 : http://www.skhu.ac.kr/board/computer_new/it/board.asp?action=read&page=2&seq=13

         성 공 회 대 학 교

제목  베이글 변종웜(Bagle.19834) 확산에 따른 감염 주의 보안관련 사이트 접속을 차단함
글쓴이   전자계산소 조회수   643     등록일   2006-02-10  
 

  □ 개 요

감염 시 감염시스템 내에 저장되어 있는 메일주소를 검색하여, 검색된 메일주소로 웜을 첨부한 메일을 발송하고 특정 보안사이트 접속이 불가능해 지며, 일부 보안관련 프로그램을 종료하는 Bagle.19834 웜이 국내외에 확산되고 있어 주의가 요구됨

 

□ 감염 대상 시스템

Windows 9X, ME, 2000, NT, XP, 2003

 

□ 전파 기법

웜 복사본을 첨부한 대량의 메일을 발송하거나, P2P 공유를 통하여 전파함

 

□ 웜이 발송하는 악성 메일유형

웜은 다음 유형으로 메일을 전송하므로, 아래와 같은 메일을 수신할 경우 첨부를 실행시키지 않도록 주의가 필요함

* 제목: 아래 형태 중 하나

- Delivery by mail
- Delivery service mail - Is delivered mail - Price - egistration ls accepted - You are made active

* 메일 본문: 아래 형태 중 하나

- Before use read the help
- February price - Thanks for use of our software.

* 메일 첨부 형태: 아래 형태 중 하나

- 21_price - February_price - guupd02 - Jol03 - new_price - price - pricelist - siupd02 - upd02 - viupd02 - wsd01 - zupd02

□ 감염 시 증상

o 파일 생성

① 아래와 같 파일 생성

"시스템 폴더" sysformat.exe

"시스템 폴더" sysformat.exeopen

"시스템 폴더" sysformat.exeopenopen

"시스템 폴더" sysformat.exeopenopenopenopen

※ "시스템 폴더"

Windows 95/98/Me C:\Windows\System

Windows NT/2000 C:\Winnt\System32

Windows XP C:\Windows\System32

② "shar" 문자열이 있는 폴더에 아래의 이름으로20,310 byte 크기의 악성 실행 파일을 복사함

- 1.exe

- 10.exe

- 2.exe

- 3.exe

- 4.exe

- 5.scr

- 6.exe

- 7.exe

- 8.exe

- 9.exe

- 10.exe

- ACDSee 9.exe

- Adobe Photoshop 9 full.exe

- Ahead Nero 7.exe

- Matrix 3 Revolution English Subtitles.exe

- Opera 8 New!.exe

- WinAmp 5 Pro Keygen Crack Update.exe

- WinAmp 6 New!.exe

- Windown Longhorn Beta Leak.exe

- XXX hardcore images.exe

o 레스트리 생성

부팅 시 마다 자신을 메모리에 로드하기 위하여 아래의 레지스트리를 생성함

HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run sysformat = "%System%\ sysformat.exe

o "시스템폴더"\drivers\etc\ 에 위치한 hosts 파일에 아래와 같이 내용을 추가하여 보안관련 사이트 접속을 차단함

127.0.0.1 localhost

127.0.0.1 ad.doubleclick.net

127.0.0.1 ad.fastclick.net

127.0.0.1 ads.fastclick.net

127.0.0.1 ar.atwola.com

127.0.0.1 atdmt.com

127.0.0.1 avp.ch

127.0.0.1 avp.com

127.0.0.1 avp.ru

127.0.0.1 awaps.net

127.0.0.1 banner.fastclick.net

127.0.0.1 banners.fastclick.net

127.0.0.1 ca.com

127.0.0.1 click.atdmt.com

127.0.0.1 clicks.atdmt.com

127.0.0.1 dispatch.mcafee.com

127.0.0.1 download.mcafee.com

127.0.0.1 download.microsoft.com

127.0.0.1 downloads.microsoft.com

127.0.0.1 engine.awaps.net

127.0.0.1 fastclick.net

127.0.0.1 f-secure.com

127.0.0.1 ftp.f-secure.com

127.0.0.1 ftp.sophos.com

127.0.0.1 go.microsoft.com

127.0.0.1 liveupdate.symantec.com

127.0.0.1 mast.mcafee.com

127.0.0.1 mcafee.com

127.0.0.1 media.fastclick.net

127.0.0.1 msdn.microsoft.com

127.0.0.1 my-etrust.com

127.0.0.1 nai.com

127.0.0.1 networkassociates.com

127.0.0.1 office.microsoft.com

127.0.0.1 phx.corporate-ir.net

127.0.0.1 secure.nai.com

127.0.0.1 securityresponse.symantec.com

127.0.0.1 service1.symantec.com

127.0.0.1 sophos.com

127.0.0.1 spd.atdmt.com

127.0.0.1 support.microsoft.com

127.0.0.1 symantec.com

127.0.0.1 update.symantec.com

127.0.0.1 updates.symantec.com

127.0.0.1 us.mcafee.com

127.0.0.1 vil.nai.com

127.0.0.1 viruslist.ru

127.0.0.1 windowsupdate.microsoft.com

127.0.0.1 www.avp.ch

127.0.0.1 www.avp.com

127.0.0.1 www.avp.ru

127.0.0.1 www.awaps.net

127.0.0.1 www.ca.com

127.0.0.1 www.fastclick.net

127.0.0.1 www.f-secure.com

127.0.0.1 www.kaspersky.ru

127.0.0.1 www.mcafee.com

127.0.0.1 www.my-etrust.com

127.0.0.1 www.nai.com

127.0.0.1 www.networkassociates.com

127.0.0.1 www.sophos.com

127.0.0.1 www.symantec.com

127.0.0.1 www.trendmicro.com

127.0.0.1 www.viruslist.ru

127.0.0.1 www3.ca.com

o 일부 보안 관련 프로그램을 종료함

o 특정 사이트에 접속하여 추가로 악성 파일을 다운로드함

□ 감염 / 피해 예방 방법

o 확인되지 않은 메일의 첨부 파일을 실행하지 않음.

o P2P 통한 파일 다운로드 시 비정상적으로 파일크기 작을 경우 주의하도록 하며, P2P를 통하여 다운로드 받은 파일은 받드시 백신 점검 후 사용하도록 함.

o 백신을 최신으로 업데이트하고 주기적으로 점검함.

 

□ 감염 시 치료 방법

1. 윈도우를 안전모드로 부팅. 부팅 시 F8을 누른 후 안전 모드 선택

2. 웜이 생성한 악성 코드 삭제

아래의 웜이 생성한 아래의 파일을 삭제

"시스템 폴더" sysformat.exe

"시스템 폴더" sysformat.exeopen

"시스템 폴더" sysformat.exeopenopen

"시스템 폴더" sysformat.exeopenopenopenopen

또한, "shar" 문자열을 가지는 폴더에 생성된 아래의 파일을 삭제

1.exe, 10.exe, 2.exe, 3.exe, 4.exe, 5.scr, 6.exe, 7.exe, 8.exe, 9.exe, ACDSee 9.exe, Adobe Photoshop 9 full.exe, Ahead Nero 7.exe,

Matrix 3 Revolution English Subtitles.exe, Opera 8 New!.exe,

WinAmp 5 Pro Keygen Crack Update.exe,WinAmp 6 New!.exe,

Windown Longhorn Beta Leak.exe, XXX hardcore images.exe

3. 웜이 생성한 레지스트리를 삭제

HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run sysformat = "%System%\ sysformat.exe

4. 재 부팅

□ 참고사이트

o 안철수연구소 : http://info.ahnlab.com/smart2u/virus_detail_3553.html

o 트랜드 : http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FBAGLE%2ECL