본문바로가기 18.221.112.248
모바일 메뉴 닫기
상단배경사진

DCU광장

Community

메인으로

바이러스/보안게시판

[웜 바이러스 경보] Naco.D웜 바이러스
작성일 : 2003/06/13 작성자 : 전산정보팀 조회수 : 5669
Naco.D웜 바이러스 예보가 한국정보보호진흥원에서 발령되었습니다.
 
아래에 나타난 바와 같이 Naco.D웜 바이러스는 보안관련 응용프로그램을 강제로
종료시키고 키로그의 기능을 보유하고 있는 매우 위험한 바이러스 입니다.
사용하고 계시는 백신프로그램을 업데이트 하시고, 발신자가 불분명한 메일은
읽어보시지 않기 바랍니다.
 
 
------------------------------------------

[바이러스 주의예보VN2003279]

☆ 개요

Naco.D 웜바이러스는 5월 28일 예보를 발령한 Naco.B의 변종으로 6월 12일 국내유입이 확인되었다. E-mail과 KaZaA 등의 P2P 파일공유 프로그램 네트워크 공유를 통해 전파되어 확산속도가 빠르고 보안관련 응용 프로그램의 프로세스를 강제로 종료하는 증상과 키로그 기능을 가지고 있으므로 윈도우즈 사용자들의 주의가 요구된다.


☆ 전파방법

E-mail과 KaZaA등의 P2P 파일공유 프로그램 네트워크 공유를 통해 전파된다.


☆ 피해증상

웜이 실행되면 윈도우 시스템 폴더(일반적으로 c:windowssystem c:winntsystem32)에 ANACON32.exe를 설치한다.

그리고 다음의 레지스트리 값을 추가하여 다음번 부팅시마다 실행되도록 한다.

HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersion Run "Under20" = C:WINNTSYSTEM32ANACON32.EXE

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion Run "ALM" = C:WINNTSYSTEM32ANACON32.EXE

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion RunServices "Services" = C:WINNTSYSTEM32ANACON32.EXE

다음과 같은 백신 및 보안관련 응용 프로그램의 프로세스가 실행중이라면 강제로 종료한다.

Zonealarm.exe Navwnt.exe Dvp95.exe Wfindv32.exe Navw32.exe Cleaner3.exe Webscanx.exe Navnt.exe Cleaner.exe Vsecomr.exe Navlu32.exe Claw95cf.exe Vscan40.exe Navapw32.exe Claw95.exe
Vettray.exe N32scanw.exe Cfinet32.exe Vet95.exe Mpftray.exe Cfinet.exe Tds2-98.exe Moolive.exe Cfiaudit.exe Tca.exe Luall.exe Cfiadmin.exe Tbscan.exe Lookout.exe Blackice.exe
Sweep95.exe Jedi.exe Blackd.exe Sphinx.exe Iomon98.exe Avwupd32.exe Smc.exe Iface.exe Avwin95.exe Serv95.exe Icsuppnt.exe Avsched32.exe Scrscan.exe Icsupp95.exe Avptc32.exe
Scanpm.exe Icmon.exe Avpm.exe Scan95.exe Icloadnt.exe Avpdos32.exe Scan32.exe Icload95.exe Avpcc.exe Safeweb.exe Ibmavsp.exe Avp32.exe Rescue.exe Ibmasn.exe Avp.exe
Regedit.exe Iamserv.exe Avnt.exe Rav7win.exe Iamapp.exe Avkserv.exe Persfw.exe f-Stopw.exe Avgctrl.exe Frw.exe
Pcfwallicon.exe Ave32.exe Pccwin98.exe Fp-Win.exe Pavw.exe Autodown.exe f-Prot95.exe Apvxdwin.exe Pavsched.exe f-Prot.exe Anti-Trojan.exe Pavcl.exe Fprot.exe Ackwin32.exe Padmin.exe Findviru.exe _Avpm.exe Outpost.exe f-Agnt95.exe _Avp32.exe Nvc95.exe Espwatch.exe Nupgrade.exe Esafe.exe Normist.exe Ecengine.exe Nmain.exe Dvp95_0.exe Nisum.exe

DoS공격시도
- 아래의 이스라엘과 유대인 웹사이트로 서비스거부공격을 시도하는 명령을 포함하고 있다.

212.143.236.4
62.154.244.36
209.61.182.140
198.65.148.153
212.150.63.115
208.40.175.222
161.58.232.244
161.58.197.155
194.90.114.5
147.237.72.91

사용자의 키보드 로그 정보를 유출한다.

MS IIS가 설치되어 있는 경우

- Inetpubwwwroot 폴더에 다음의 파일을 overwrite시키기 위해 시도한다.

default.asp
default.htm
default.html
index.asp
index.htm
index.html

- 원본 파일들에는 아래 메시지로 덮어 써버린다.
G02 WARNING! YOUR WEB SERVER HAS BEEN HACKED BY ANACON MELHACKER. Anacon G0t ya! By Melhacker

파일 삭제

C나 D드라이버의 모든 파일들을 삭제할 수도 있다.


☆ 감염시 치료방법

백신프로그램을 최신버전으로 업데이트 한 다음 검사하여 치료한다.

백신으로 치료가 안될 경우 모든 작업관리자를 이용해 프로세스를 중단시키고 윈도우 시스템 폴더에 생성된 파일을 삭제하고 추가된 레지스트리 값을 삭제하거나 수정한다.

바뀐 파일들은 원래 대로 복구시킨다.


☆ 예방법

E-mail과 KaZaA 등의 P2P 파일공유 프로그램, 네트워크 공유를 통해 전파되므로 메일에 첨부된 파일을 실행시키거나, 감염된 사용자의 PC에서 바이러스에 의해 생성된 파일을 다운로드받아 실행할 경우 감염된다. 첨부파일이 있는 메일은 함부로 열지 않도록 하고 제목과 내용으로 본인에게 필요한 메일인지 확인하고 최신 버전의 백신으로 업데이트 하여 먼저 검사한 뒤 사용하도록 한다.


☆ 참조사이트

Naco.D웜 바이러스 예보: http://www.certcc.or.kr/cvirc/Alert/warning/2003/Naco_D_html

댓글 작성
최상단 이동 버튼