HOME > 게시판 > 자유게시판
게시판| 자유게시판
※ 게시판 용도에 맞지 않는 글(광고및 홍보 글 등)은 임의삭제될 수 있습니다.

 
작성일 : 01-12-05 10:59
Win32/Goner.worm.38912바이러스 주의보
 글쓴이 : 관리자
조회 : 2,770  

 

안철수연구소 제공자료입니다.

이름 Win32/Goner.worm.38912 감염시 위험도 3등급(위해)
종류 유형 윈도우파일
국내발견일 제작국 불분명
특정활동일 특정일 활동 없음 치료가능여부 진단     치료
증상 - 아웃룩 주소록에 등록된 사용자에게 웜이 첨부된 메일을 발송한다.
- 일부 백신이나 백도어/트로이안 검색하는 보안관련 프로세스가 실행되어 있을 경우, 이를 종료시키고 그 프로세스가 있는 폴더의 모든 파일을 삭제한다.
내용 Win32/Goner.worm.38912 는 W32.Goner.A@mm( 시만텍 ), W32/Goner.A ( 노먼 ), Goner ( F-Secure ), WORM_GONE.A ( 트렌드 ) 로 불리는 웜으로, 외국에서 2001년 12월 4일 처음 발견되었으며 국내에서도 2001년 12월 5일 신고접수 되었다.

웜은 38KB ( 38,912Byte) 크기를 가지고 있으며 실행 압축되어 있고 실행 압축을 해제할 경우 약 136KB 의 크기를 가진다. 이 웜은 Visual Basic 으로 만들어진 프로그램으로, MSVBVM60.DLL 파일이 윈도우 시스템폴더에 존재해야 정상적으로 실행된다.

이 웜은 아웃룩의 주소록에 등록된 사용자들에게 퍼지는 웜으로 다음과 같은 형식으로 퍼지게 된다.

제목 : Hi

내용 :
How are you ?
When I saw this screen saver, I immediately thought about you
I am in a harry, I promise you will love it!

첨부 파일 : Gone.scr



첨부 파일을 실행하게 되면, 다음과 같은 화면이 뜬후



사용자를 속이기 위해 다음과 같은 에러 창이 뜨게 된다.



에러창의 "확인" 버튼을 누르면, 실제적으로 웜이 작동하게 되며, 웜 작동시 웜을 윈도우 시스템폴더 ( 일반적으로 C:\WINDOWS\SYSTEM ) 에 복사하고



레지스트리에 다음과 같이 추가한다.



그리고, 다음과 같은 프로세스가 메모리에 떠있는경우

APLICA32.EXE
ZONEALARM.EXE
ESAFE.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET32.EXE
PCFWallIcon.EXE
FRW.EXE
VSHWIN32.EXE
VSECOMR.EXE
WEBSCANX.EXE
AVCONSOL.EXE
VSSTAT.EXE
NAVAPW32.EXE
NAVW32.EXE
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
AVP32.EXE
AVPCC.EXE
AVPM.EXE
AVP.EXE
LOCKDOWN2000.EXE
ICLOAD95.EXE
ICMON.EXE
ICSUPP95.EXE
ICLOADNT.EXE
ICSUPPNT.EXE
TDS2-98.EXE
TDS2-NT.EXE
SAFEWEB.EXE

강제로 프로세스를 종료시킨후, 그 프로세스가 있는 폴더의 모든 파일을 삭제하게 된다.대개의 프로세스는 백신이나 백도어/트로이안 검색하는 보안관련 프로세스들이다.

또한, 다음의 폴더가 존재 하는경우

C:\SAFEWEB\

그 폴더에 존재하는 모든 파일을 삭제한다.

mIRC 를 사용하는 유저의 경우 mIRC 폴더에 remote.ini 파일을 생성하며, mirc.ini 파일을 수정하여 mIRC 실행시 remote.ini 파일을 호출 한다.

* 이 정보는 2001년 12월 5일 오전 7시 20분에 최초 작성되고, 2001년 12월 5일 오전 10시 05분 수정되었으며, 추후 수정/업데이트 될 예정이다.
치료방법 * 2001년 12월 5일에 업데이트할 긴급 엔진에서 진단/치료 가능하다.

[Win32/Goner.worm.38912 수동치료방법]

Gone.scr 파일을 실행하여 감염되었을 경우 다음과 같이 수동으로 제거한다.

1.레지스트리 편집기를 실행하여
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\run 에서 C:\Windows\System\gone.scr 을 삭제한다(윈도우 NT/2000 사용자의 경우 C:\WinNT\System32\gone.scr을 삭제).

2. 시스템을 재부팅한다.

3. 윈도우 시스템폴더(일반적으로 C:\Windows\System)에 있는 gone.scr 파일을 삭제한다(윈도우 NT/2000 사용자의 경우 C:\WinNT\System32).

4. mIRC 사용자일 경우 mIRC 폴더에 있는 remote.ini 파일을 삭제한다.

이 글을 트위터로 보내기 이 글을 페이스북으로 보내기