nProtect.co.kr - 인터넷 PC 보안 1위

바이러스 정보

취약점 분석

보안상식

윈도우 업데이트 안내

윈도우 쉽게 사용하기

정보보호 길잡이

바이러스 달력

Home > 보안컨텐츠

각종 바이러스에 대한 내용과 치료방법에 대한 정보를 드리는 곳입니다.

아래 바이러스 목록 외에 찾고자 하는 바이러스를 검색해 보시기 바랍니다.

Worm/W32.Agent.61440.H

다른이름(별칭)

Win32.Worm.VB.GC[BitDefender], W32.Imaut.AS[Symantec], Email-Worm.Win32.generic[Kaspersky]

현재 확산도

시스템 위험도

네트워크 확산도

잠재 위험도

활동 플랫폼

형식/종류

확산방법

12|15|20|31

대표적 증상

파일 생성, 레지스트리 변경, 메신저의 인스턴트 메시지 전송

생성파일(Drop Files)

dc.exe, Other.exe, SVIQ.exe, Fun.exe, Win.exe, WinSit.exe

악성 코드 크기

61,440 바이트

특정 활동일

특정 활동일 없음

제작국가

발견일

2009-01-05

유사/변형 정보

진단/치료 엔진정보
및 온라인 검사

진단가능엔진
(안티바이러스)

2009.01.06.00

치료가능엔진
(안티바이러스)

2009.01.06.00


내용
[전체 요약] 윈도우 폴더와 시스템 폴더에 자신의 복사본을 생성한다. 레지스트리를 생성하여 자동으로 실행되도록 하며, 특정 메신저의 인스턴트 메시지로 자신의 복사본을 전송한다. [확산 방법] 이동식 저장장치, 이메일의 첨부파일이나 인스턴트 메신저의 파일 전송 기능을 통하여 유포되며 공유된 네트워크 드라이브를 통하여 확산되기도 한다. 특별히 이 악성코드는 야후 메신저의 인스턴트 메시지를 이용하여 확산되는 특성을 가진다. [감염 후 증상] 1. 다음의 경로에 파일을 생성한다. - (윈도우 폴더)\dc.exe (61,440바이트) - (윈도우 폴더)\Help\Other.exe (61,440바이트) - (윈도우 폴더)\inf\Other.exe (61,440바이트) - (윈도우 폴더)\SVIQ.EXE (61,440바이트) - (윈도우 시스템 폴더)\Fun.exe (61,440바이트) - (윈도우 시스템 폴더)\Config\Win.exe (61,440바이트) - (윈도우 시스템 폴더)\WinSit.exe (61,440바이트) 2. 다음의 레지스트리를 생성 및 변경하여 자동으로 악성코드가 실행 되도록 한다. - HKEY_USERS\ Software\ Microsoft\ Windows\ CurrentVersion\ Run\ - 이 름 : dc2K5 - 데이터 : (윈도우 폴더)\SVIQ.EXE - 이 름 : Fun - 데이터 : (윈도우 시스템 폴더)\Fun.exe - 이 름 : dc - 데이터 : (윈도우 폴더)\dc.exe - HKEY_USERS\ Software\ Microsoft\ Windows NT\ CurrentVersion\ Windows\ - 이 름 : run - 데이터 : (윈도우 시스템 폴더)\Config\Win.exe - 이 름 : load - 데이터 : (윈도우 폴더)\inf\Other.exe - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon\ - 이 름 : Shell - 데이터 : Explorer.exe (윈도우 시스템 폴더)\WinSit.exe 3. 윈도우 폴더에 wininit.ini파일을 생성하며 다음의 내용으로 구성되어 있다. * wininit.ini파일 내용 - [rename] nul=C:\WINDOWS\Help\Other.exe 4. 특정 메신저의 인스턴스 메시지 전송 기능을 이용하여 확산되며 전송되는 메시지는 아래와 같다. 해당 사이트는 현재 닫혀있어 특정 동작을 하지는 않고 있다. - http://(생략).(생략)pages.com [참고 사항] - (드라이브 루트)란 드라이브의 최상위 폴더이다. (예. C:\, D:\) - (사용자 임시 폴더)란 일반적으로 C:\Documents and Settings\(사용자 계정)\Local Settings\Temp 이다. - (윈도우 폴더)란 일반적으로 95,98,ME에서는 C:\WINDOWS 이고, 2000, NT에서는 C:\WINNT, 윈도우XP에서는 C:\WINDOWS 이다. - (윈도우 시스템 폴더)란 일반적으로 95,98,ME에서는 C:\WINDOWS\SYSTEM 이고, 2000, NT에서는 C:\WINNT\SYSTEM32, 윈도우XP에서는 C:\WINDOWS\SYSTEM32 이다. - (주)잉카인터넷의 악성코드 명명법을 확인하려면 아래 버튼을 클릭한다.

치료 방법

[nProtect Netizen / nProtect Personal 으로 치료하기]

1. 사용 제품을 실행 후 상단의 ON-SCAN 버튼을 클릭한다.
2. 환경설정에서 모든 파일에 체크하고 검사시작 버튼을 클릭하여 검사를 시작한다.
3. 검사 종료 후 악성코드가 진단되면 치료 여부를 묻는 메시지 창의 예 버튼을 클릭하여 치료한다.
4. 치료된 항목을 확인한다.

[nProtect Antivirus 2.0 / nProtect Antivirus for Windows Server / nProtect Enterprise로 치료하기]

1. 사용 제품 실행 후 최신 엔진 및 패치 파일로 업데이트 한다.(메인화면. 트레이 아이콘, 시작메뉴 활용)
2. 메인화면에서 바이러스 검사 선택 후 검사할 범위을 지정하고 검사 시작 버튼을 클릭하여 검사를 시작한다.
3. 검사 종료 후 악성코드가 진단되면 진단된 항목을 확인하고 치료 버튼을 클릭하여 치료한다.
4. 치료된 항목을 확인한다.

[nProtect 홈페이지에서 치료하기]

nProtect 홈페이지에서 진단 및 치료하는 방법은 아래의 버튼을 클릭하여 확인한다.

본 분석자료의 모든 저작권은 ISARC(INCA Internet Security Analysis & Response Center)에 있으므로 무단 사용 및 도용을 금지합니다.

단, 비영리 또는 개인이 본 컨텐츠를 사용하는 것은 허용되고 있으나, 이 경우에는 정보의 출처를 반드시 밝혀야 하며, 상업적인 목적 또는 기업이 본 컨텐츠를 사용시에는 반드시 본사 컨텐츠 담당에게 사용 문의를 해야합니다.

정보 컨텐츠 이용 문의 : sale@inca.co.kr

최초 정보 입력 시간 | 2009.01.09 13:38 (GMT+9)

마지막 정보 수정 시간 | 2009.01.09 13:38 (GMT+9)