제목 없음
| Win32/Fbound.worm. 12288.B |
|
| 웜 |
유형 |
윈도우파일 |
|
|
| 특정일 활동 없음 |
|
| - 메일로 전파된다. |
|
Win32/Fbound.worm.12288.B 는 WORM_FBOUND.B,
W32/Fbound.c@MM 라고 불리우며 2002년 3월 13일(현지시각) 외국에서 다수보고 되었고, 국내에는 2002년 3월 14일에
사용자로부터 다수의 감염보고를 받았다. 국내에 발견된것은 Win32/Fbound.worm.12288.B 이지만 이외에도 두개의 변형이 더
존재한다. V3는 2002년 3월 14일자 엔진으로 모두 진단, 치료(삭제)가 가능하다.
전파되는 메일양식
제목: "Important" or 일본어 문자
본문: 없음
첨부파일: patch.exe (12,288 바이트)
확인된 일본어 제목
전파방법및
대상
웜은 아웃룩 익스프레스에서 설정된 레지스트리 기본값으로 지정된 SMTP 주소를 이용하여 메일을 발송한다.
그러므로 아웃룩 익스프레스가 설정되지 않았다면 메일로 퍼지지 않는다. 대상은 윈도우 주소록에 등록된 사용자들에게 웜이 첨부된 메일을 발송하며
메일주소가 .jp로 끝날때만 메일 제목에 일본어 문자를 추가한다. 그외에는 "Important" 만 붙는다.
실행후 증상
웜은 하드 디스크 아무런 파일도 생성하지 않고 레지스트리 값도 수정도 하지
않는다. 단지 첨부된 파일을 사용자가 실행할때만 전파된다.
또한 웜 내부에는 다음과 같은 Text 를 가지고 있다.
XXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXX I-Worm.Japanize XXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXX
이 정보는 2002년 03월 14일 15시 10분에 최초 작성되었고, 2002년 3월 14일 17시 13분에
최종 수정되었다. |
|
- 2002년 3월 14일자 긴급엔진으로 업데이트 한 후
Win32/Fbound.worm.12288.B 로 진단되는 파일은 삭제하도록 한다.
- 다음과 같은 메일을 받는다면 즉시
삭제하도록 한다.
제목: "Important" or 일본어 문자
본문: 없음
첨부파일: patch.exe
(12,288 바이트) |
|
안철수바이러스연구소
발췌
|
|
