바이로봇 버전정보 :
2010-06-08.03 활동 OS 플랫폼 :
MS Windows 감염시 위험도 :
- 등록일 :
- 2022-06-09 14:17:33
■ Worm.Win32.IM-VB.57344
A. 감염 경로
이동식디스크 및 메신저를 통한 자체적인 전파기능을 가지고 있으며, 해킹 당한 사이트에서 다운로드 되거나 패키지 프로
그램에 의해 설치될 수 있다.
B. 감염 증상
1) 전파 시 해당 드라이버에 있는 폴더의 이름을 파일 이름으로 사용하여 실행을 유도한다.
2) 야후메신저를 통해 전파되며 특정 서버에 접속하여 파일 다운로드를 시도하나 현재 정상적으로 다운로드되지 않는다.
https://dungcoivb.googlepages.com/ND.txt
https://dungcoivb.googlepages.com/NWB.txt
3) 다음 경로에 자가복제를 수행한다.
%windir%dc.exe
%windir%dc.exe
%windir%system\Fun.exe
%windir%SysWOW\config\Win.exe
%windir%SysWOW\WinSit.exe
%windir%Help\Other.exe
%windir%inf\Other.exe
4) 부팅 시 자동실행을 위해 자가복제 파일을 레지스트리에 등록한다.
키 : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
이름 : dc
데이터 : C:\Windows\dc.exe
키 : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
이름 : dc
데이터 : C:\Windows\dc.exe
키 : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
이름 : Fun
데이터 : C:\Windows\system\Fun.exe
키 : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Windows
이름 : run
데이터 : C:\Windows\system32\config\Win.exe
C. 치료 방법
바이로봇 2010-06-08.03 이상 버전으로 치료된다.
D. 위험도
보통
