nProtect.co.kr - 인터넷 PC 보안 1위

바이러스 정보

취약점 분석

보안상식

윈도우 업데이트 안내

윈도우 쉽게 사용하기

정보보호 길잡이

바이러스 달력

Home > 보안컨텐츠

각종 바이러스에 대한 내용과 치료방법에 대한 정보를 드리는 곳입니다.

아래 바이러스 목록 외에 찾고자 하는 바이러스를 검색해 보시기 바랍니다.

Worm/W32.Stration.89896

다른이름(별칭)

Win32.Worm.Stration.CJ@mm[BitDefender], W32/Threat-HLLIM-based!Maximus[F-Prot], W32.Stration.C@mm[Symantec]

현재 확산도

시스템 위험도

네트워크 확산도

잠재 위험도

활동 플랫폼

형식/종류

확산방법

대표적 증상

E-메일 발송, 파일 다운로드, 네트워크 트래픽증가, 메모장 화면출력

생성파일(Drop Files)

rsmb.exe, rsmb.dll, 3.tmp(한자리의 랜덤한 숫자를 가진다.)

악성 코드 크기

89,896 바이트

특정 활동일

특정 활동일 없음

제작국가

발견일

2006-08-30

유사/변형 정보

- Worm/W32.Stration.18555
- Worm/W32.Stration.100452
- Worm/W32.Stration.88995
- Worm/W32.Stration.89303
- Worm/W32.Stration.151251
- Worm/W32.Stration.31236
- Worm/W32.Stration.62976.C
- Worm/W32.Stration.62464.B
- Worm/W32.Stration.32772
- Worm/W32.Stration.45060
- Worm/W32.Stration.150844
- Worm/W32.Stration.140535

진단/치료 엔진정보
및 온라인 검사

진단가능엔진
(안티바이러스)

2006.08.30.00

치료가능엔진
(안티바이러스)

2006.08.30.00


내용
[분석 자료 전체 요약] Worm/W32.Stration.89896 은 이메일 첨부파일로 확산하는 E-메일 웜으로 메모장 아이콘으로 보이며, 처음 실행 시 메모장 프로그램을 실행하여 사용자가 정상실행한 것으로 착각하도록 한다. 또한 특정 사이트로 부터 악성코드를 추가 다운로드 하여 설치하며, 사용자의 컴퓨터에서 E-메일 주소를 수집하여 웜 메일을 발송한다. [확산 방법] 특정 웹 사이트에서 다량의 악성코드를 추가로 설치하며, 일부 E-메일 웜 등에 의해서 2차 확산을 시도한다. [감염 후 증상] 1. 첨부파일을 실행한 위치에 임의의 tmp 파일을 생성하고 메모장 화면으로 불특정 문자열을 보여주어 사용자로 하여금 파일이 손상된 것처럼 위장한다. 2. 아래의 파일이 생성된다. - (윈도우 폴더)\rsmb.exe - (윈도우 폴더)\rsmb.dll 3. 아래와 같은 경로에서 추가로 악성코드를 다운로드 하여 설치한다. - http://www.gade(일부삭제)wui.com 4. 아래의 레지스트리키를 추가하여 윈도우 시작시 실행되게 한다. -HKLM\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run\ - 이름: rsmb - 데이터: (윈도우폴더)\rsmb.exe 5. 아래와 같은 확장자의 파일에서 이메일 주소를 수집하여 웜 메일을 발송한다. - .xml - .xls - .wsh - .wab - .uin - .txt - .tbb - .stm - .shtm - .sht - .pl - .php - .oft - .ods - .nch - .msg - .mmf - .mht - .mdx - .mbx - .jsp - .html - .htm - .eml - .dhtm - .dbx - .cgi - .cfg - .asp - .adb [참고 사항] - 윈도우 폴더란 일반적으로 95,98,ME에서는 C:\WINDOWS 이고, 2000, NT에서는 C:\WINNT, 윈도우XP에서는 C:\WINDOWS 이다. - 윈도우 시스템 폴더란 일반적으로 95,98,ME에서는 C:\WINDOWS\SYSTEM 이고, 2000, NT에서는 C:\WINNT\SYSTEM32, 윈도우XP에서는 C:\WINDOWS\SYSTEM32 이다. - (주)잉카인터넷의 악성코드 명명법을 확인하려면 아래 버튼을 클릭한다.

치료 방법

[nProtect Netizen / nProtect Personal 으로 치료하기]

1. 사용 제품을 실행 후 상단의 on-sacn 버튼을 클릭한다.
2. 환경설정에서 모든 파일에 체크하고 검사시작 버튼을 클릭하여 검사를 시작한다.
3. 검사 종료 후 악성코드가 진단되면 치료 여부를 묻는 메시지 창의 예 버튼을 클릭하여 치료한다.
4. 치료된 항목을 확인한다.

[nProtect Antivirus 2.0 / nProtect Antivirus for Windows Server / nProtect Enterprise로 치료하기]

1. 사용 제품 실행 후 최신 엔진 및 패치 파일로 업데이트 한다.(메인화면. 트레이 아이콘, 시작메뉴 활용)
2. 메인화면에서 바이러스 검사 선택 후 검사할 범위을 지정하고 검사 시작 버튼을 클릭하여 검사를 시작한다.
3. 검사 종료 후 악성코드가 진단되면 진단된 항목을 확인하고 치료 버튼을 클릭하여 치료한다.
4. 치료된 항목을 확인한다.

[nProtect 홈페이지에서 치료하기]

nProtect 홈페이지에서 진단 및 치료하는 방법은 아래의 버튼을 클릭하여 확인한다.

본 분석자료의 모든 저작권은 ISARC(INCA Internet Security Analysis & Response Center)에 있으므로 무단 사용 및 도용을 금지합니다.

단, 비영리 또는 개인이 본 컨텐츠를 사용하는 것은 허용되고 있으나, 이 경우에는 정보의 출처를 반드시 밝혀야 하며, 상업적인 목적 또는 기업이 본 컨텐츠를 사용시에는 반드시 본사 컨텐츠 담당에게 사용 문의를 해야합니다.

정보 컨텐츠 이용 문의 : sale@inca.co.kr

최초 정보 입력 시간 | 2007.01.17 12:38 (GMT+9)

마지막 정보 수정 시간 | 2007.01.17 12:38 (GMT+9)