제목 없음
|
| Win32.Nimda |
| 한글이름 |
|
| 다른이름 |
W32.Nimda.A@mm, PE_NIMDA |
|
| 분 류 |
윈도우 |
| 감염위치 |
없음 |
감염방법 |
네트워크 |
대표적 증상 |
메일발송 |
| 발 견 일 |
2001/09/18 |
제 작 지 |
외산 |
치료가능 엔진버전 |
2001/09/19 이상 |
| ♣ 요약설명 |
 |
2001년 9월 18일 외국에서 처음발견된 이 바이러스는 국내시간으로
2001년 9월 18일 저녁늦게 국내에 발견되었을 정도로 그 확산속도가 대단히 빠르다.
일반적인 웜과 동일하고 E-mail을
통해서 확산이 되며, CodeBlue worm의 기능을 흉내내어 패치되지 않은 IIS 서버를통해서 확산되기도 하며,
Win32.FunLove.4099와 마찬가지로 네트워크의 공유된 폴더를 통해서도 확산되기도 한다.
이 웜에 감염되면 *.htm,
*.html, *.asp 파일이 변경되며,경우에 따라서는 시스템 부팅이 되지 않는 현상도 일어난다. |
 |
| ♣ 치료방법 - 고객 |
|
바이로봇 2001년 9월 19일자로 진단/치료/예방이
가능하며,이미 감염되었다면 바이로봇 for Win32.Nimda 전용 백신을 사용하여 바이러스로 인하여 변경된 파일
이름 변경 작업/감염된 파일에서 원본 파일을 추출하는 작업등을 모두 한번에 수행할 수 있다.
만약 워드,엑셀등 프로그램 실행이
불가능할 경우에는 "riched20.dll"파일이 바이러스로 인하여 손상되었으므로 정상적인 시스템에서 복사 후 윈도 시스템폴더 (\Windows\System 또는
WINNT\System32)에 복사해 넣은면 된다.
바이러스의 특성상 다시 확산되는
일을 방지하기 위해서는 반드시 치료후에 바이로봇 실시간 감시기를 항상띄워두어야 재 감염되는것을 막을 수 있다.
http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp
IIS서비스를 하고있는 웹서버에는 아래의 패치를 동시에하여 이 웜이 공격하는 것을 예방해야한다. 바이로봇 for Code-X를
이용하면 패치를 하지 않아도 공격에 예방할 수 있다.
바이로봇 for Code-X : [1주일 체험판
다운받기]
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-044.asp
Microsoft IIS 4.0 :
http://www.microsoft.com/ntserver/nts/downloads/critical/q269862/default.asp
Microsoft IIS 5.0 :
http://www.microsoft.com/windows2000/downloads/critical/q269862/default.asp
|
|
| ♣ 치료방법 - 비고객 |
|
다음과 같은 순서로 수동치료를 할 수 있다.
1.
윈도폴더(일반적으로 C:\Windows)에서 System.ini파일을 메모장으로 오픈한다.
항목중 "Shell =
explorer.exe load.exe -dontrunold" 부분이 존재를하면,이 부분을 Shell = explorer.exe으로 변경한다.
2.C:\Windows\system\load.exe(57,344 바이트)를 삭제한다.
3.C:\Windows\system\riched20.dll(57,344 바이트)를 삭제한다.
4.찾기기능을 이용하여
*.eml와 *.nws 끝나는 모든 파일 삭제한다.
5.readme.exe 파일 찾아서 삭제한다.
6.네트워크
공유를 모두 해제한다.
7.만약 워드,엑셀등 프로그램 실행이 불가능할 경우에는 "riched20.dll"파일이 바이러스로 인하여 손상되었으므로
정상적인 시스템에서 복사 후 윈도 시스템폴더 (\Windows\System 또는 WINNT\System32)에 복사해 넣은면 된다.
하지만,위에 작업에서는 이 바이러스가 감염시킨 원본 파일은 복구 할 수 없으므로 바이로봇 "Win32.Nimda"전용백신을 이용하는것이 바람직하다.
위에서 언급한 모든 작업은 "바이로봇 for Win32.Nimda" 전용백신을 이용하여 모두 자동으로 가능하다.
이후, 다시 감염되는것을 막기위해서는 아래의 패치를 모두 적용해야 한다.
http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp
IIS서비스를 하고있는 웹서버에는 아래의 패치를 동시에하여 이 웜이 공격하는 것을 예방해야한다. 바이로봇 for Code-X를
이용하면 패치를 하지 않아도 공격에 예방할 수 있다.
바이로봇 for Code-X : [1주일 체험판
다운받기]
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-044.asp
Microsoft IIS 4.0 :
http://www.microsoft.com/ntserver/nts/downloads/critical/q269862/default.asp
Microsoft IIS 5.0 :
http://www.microsoft.com/windows2000/downloads/critical/q269862/default.asp
| |
|
