바이러스 주의보 발령!! winevar바이러스 !! ::: bcpark.net

자유롭게 게시물을 올릴수있는 게시판입니다.

BCPARK 유튜브 구독 감사합니다. BCPARK 유튜브 구독 감사합니다.
비씨파크 회원 뭉쳐서 100만 유튜브 채널 가즈아~~~

바이러스 주의보 발령!! winevar바이러스 !!

바이러스 주의보 발령!! winevar바이러스 !!

긴급주의보 발령!!

바이러스 주의보를 발령하오니 아래를 참조하시여 피해가 없도록 하여 주시기 바랍니다.
E-mail로 전파되며 첨부파일의 확장자가 "PIF나 CEO"이니 주의하시기 바랍니다.!!

국내에 유입된 윈에바(win32/Winevar.worm) 컴퓨터 바이러스가 급속히 확산됨에 따라 이 바이러스에 대해 주의예보를 발령합니다.

이 바이러스는 ‘N’4ucast’나 AVAR 등의 제목을 가진 e-메일을 통해 전파되며 첨부파일을 실행하면 감염됩니다.

첨부파일은 확장자가 PIF나 CEO로 돼 있으며 첨부파일의 일부에는 ‘펀러브’(Win32/Funlove.4099) 바이러스가 포함돼 있다.

감염되면 백신프로그램이나 파이어월 등 바이러스 예방프로그램이 자체적으로 작동할 때 나타나 실행중이던 작업을 종료시키고 윈도 운영체제 오류때 나타나는 파란창이 뜨게 만든다

정 보 통 신 팀(T.2412)

아래는 안철수 연구소 정보입니다.

Win32/Winevar.worm 은 2002년 11월 22일 저녁부터 퍼진것으로 보인다. 이 정보를 작성하는 2002년 11월 23일 현재 안철수연구소는 고객으로 부터 여러건의 감염 보고를 받았다.

- 전파되는 메일양식
이 웜은 메일을 통해 전파된다.

제목 : N'4[특수문자][컴퓨터이름] 혹은 AVAR 관련 제목
첨부파일 : 임의의 이름을 가진 PIF 와 CEO 확장자 파일

HTML 형식의 내용을 포함하고 있으며 HTML 본문은 보안허점을 이용하기도 하여, 패치안된 시스템에서는 웜이 자동으로 실행되게 하기도 한다.

이 웜이 이용하는 보안상 허점은 다음의 두가지 중 하나다.
- "Microsoft VM ActiveX Component"
- "Incorrect MIME Header Can Cause IE to Execute E-mail Attachment"
- 실행후 증상웜이 실행되면 시스템 폴더 ( 일반적으로 C:WindowsSystem)에 WIN으로 시작하는 파일이 생성된다.( 예 : WIN5063.PIF, Win5063.tmp, WINE2D4.TMP 등 )
확장자가 PIF 인 파일은 웜 파일이고 확장자가 TMP 파일은 특정 웹사이트의 내용이 저장되었거나 문자열이 조금 변형된 Win32/FunLove.4099 바이러스가 포함되었을 수 있다.

- WINxxxx.PIF ( 대략 91,085 바이트, 탐색기로 보면 89 KB ) : 웜 파일
- WINxxxx.TMP : 특정 웹사이트 내용
- WINxxxx.TMP ( 4,592 바이트 ) : 변형된 Win32/FunLove.4099 바이러스
* WINxxxx.PIF 의 경우 감염될 때마다 크기가 조금씩 증가하므로, 약간씩 파일크기의 차이가 있을 수 있다.
다음 레지스트리의 내용을 변경해 윈도우가 시작될 때 자동실행되게한다.
HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run 의 Default 항목에 처음 실행된 웜 파일명 추가

HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run 에 WINxxxx 항목 생성(xxxx는 랜덤하게 생성)
등록되는 파일은 실행 파일명과 윈도우 시스템 폴더에 생성된 파일명입니다.

특징적으로 "~AAVER 2002 in Seoul~" 혹은 "~AAVAR 2002 in Seoul~"이란 문자열을 포함하고 있다.
단, AVAR는 Association of anti Virus Asia Researchers의 약자로 컴퓨터바이러스를 연구하는 연구모임으로, 이 웜과 관련이 없다.
대다수의 백신 프로그램에서 변형된 Win32/FunLove.4099 바이러스를 진단할 수 있다.
특징적인 증상으로 다음과 같은 메시지창을 출력하며, '확인'버튼을 클릭할 경우 파일을 삭제한다.

"Make a fool of oneself What a foolish thing you have done!"

또한 일부 보안 프로그램( 백신, 파이어월 ), 모니터링 프로그램, 디버그 등의 프로그램 프로세스가 실행중이면 중단시킨다. 이 과정에서 시스템이 불안정하여 다운되는 증상을 나타낼 수 있다.

* 이 정보는 2002년 11월 23일 12시에 최초 작성되었고, 2002년 11월 23일 17시 30분에 최종 수정되었다.

비씨파크 카카오톡 오픈채팅방 오픈! gogogo~~~
[초대코드 bcpark]

written by 코로나 (mnihej)

2002-11-25 16:30:55

1010 번 읽음

목록보기 글꼴(+) 글꼴(-) 프린트 이메일 PDF

총 2 개의 댓글이 있습니다.

의견감추기 리스트보기 펼쳐보이기

1. 이희성 '02.11.26 3:21 AM 신고

사람한테 옮는 감기바이러스도 주의하셔야하겠습니다 모두들....... ↓댓글에댓글
2. 양욱진 '02.11.26 3:16 PM 신고

난 학교에서 멜확인 하기 땜에 문제읍따 ㅋㅋ -_-;; ↓댓글에댓글

☞ 로그인 후 의견을 남기실 수 있습니다

홈페이지 운영하세요? 용량과 트래픽과 가격으로 고민하셨어요?
비씨파크 평생 무제한 웹호스팅

목록보기

수정하기

삭제하기

작성하기

since 2000

비씨파크 주식회사, 대표이사 : 박병철 개인정보보호책임자 : 박병철
사업자등록번호 : 114-86-19888 |
본사 : 서울특별시 서초구 서초대로73길, 42, 1307호
전자우편 : master@bcpark.net |
(전화전 이용문의 게시판 필수) 전화: 02-534-982구(09:00~18:00) | 팩스: 02-535-155구 | 긴급: 010-9774-988삼

ㆍ쇼핑몰안내 : 비씨파크는 통신판매중개자로서 상품 주문, 배송 및 환불의 의무와 책임은 각 판매 업체에 있습니다.