| I-Worm.Win32.Smibag.163840 | | 다른이름 | Win32/Smibag.worm.163840, I-Worm.Sinsms.b, W32/Smibag.worm | | | 분 류 / 활동범위 | I-Worm / 윈32 | | 감염위치 | 없음 | 시스템 메모리 상주 여부 | 비상주 | | 제작국가 | 대한민국 | 암호화 여부 | 비암호화 | | 발견일 | [국내] 2003-09-26 [해외] 2003-09-26 | | 확산방법 | 메신저 | | 대표적증상 | 레지스트리 변경, 메신저 악성코드 전송, 악성코드 설치 | | 특정 활동일 | 특정 활동일 없음 | 파괴/확산등급 | 약함/높음 | | 엔진버전 | 2003-09-26 [진단, 치료 가능 ] | |
|
2003년 9월 26일 한국에서 발견보고 되었으며, 지속적으로 변형이 제작되어, 배포되고 있다.
MSN Messenger로 확산되며, 기존에 발견되었던 메신저를 이용하여 확산되었던 Worm.Win32.Sins 시리즈와 매우 흡사하며, 역시 성인사이트 광고 목적으로 제작된 것으로
추정된다.
[확산 방법]
MSN Messenger에 등록된 사람에게 “SMB.EXE” 파일을 자동으로 보내면서 확산되며
웜이 보낸 “SMB.EXE” 파일을 “수락(Accept)” 하여 실행시키면 다시 같은 방식으로 메신저
에 등록된 사용자에게 파일을 보내는 과정을 반복하면서 확산 시킨다.
[감염 후 증상]
1.”SMB.EXE” 파일이 실행되면 다음의 파일들을 생성시킨 후,
- uz.exe(50,688 바이트) : ZIP압축을 해제하는 파일로서 정상 파일,
- ext.zip(admagic.exe, atl.dll, msnVC.exe, raw32x.dll, sm.dll) 파일을 포함하고 있다.
2.uz.exe 파일로 ext.zip 파일의 압축을 해제하는데, “admagic.exe” 파일과,
“msnVC.exe” 파일만 바이로봇에서 다음과 같이 진단한다.
- admagic.exe ( Trojan.Win32.Smibag.90112 )
- msnVC.exe ( Trojan.Win32. Smibag.28672 )
*참고 : admagic.exe 파일 내부에는 성인 사이트 주소가 담겨 있는것으로 보아 이 웜이
성인 사이트를 광고하는 목적으로 제작된 것으로 추정된다.
3. 다음의 레지스트리에 admagic.exe 파일이 등록되어 윈도우 부팅시 마다 자동으로 실행
된다.
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrnetVersion
\Run
이 름 : svchost
데이터 : c:\admagic.exe
*최초 작성 : 2003년 9월 26일 오전 11시 HAURI Inc.
*마지막 수정 : 2003년 9월 29일 오전 9시 30분 HAURI Inc.
|