| 다른 이름 |
I-worm.Bradex, PE_BRID.A, W32/Brid.A@MM,
Win32/Brid.A@MM |
|
| 감염시 위험도 |
4등급(대비)  |
|
| 확산 위험도 |
1등급 |
현재 확산도 |
2등급
|
|
| 종류 |
웜 |
감염 영역 |
없음 |
|
| 감염 OS |
윈도우 |
감염 경로 |
메일/보안취약성 |
|
| 최초발견일 |
2002-11-04 |
국내발견일 |
2002-11-04 |
|
| 특정활동일 |
특정일 활동 없음 |
제작국 |
불분명 |
|
| 진단 가능 엔진 |
2002-11-04 |
치료 가능 엔진 |
2002-11-04 |
|
| |
※ 표기된 날짜 이후의 엔진으로 진단 및 치료가 가능합니다. |
|
| 증상 |
- 메일로 전파된다.
- 감염된 사용자의 윈도우 정보를 다른 사용자에게 발송한다.
-
Win32/FunLove.4099 바이러스를 포함하고 있다.
|
|
| 내용 |
Win32/Bride.worm.114687 는 2002년 11월 4일 국내 사용자로부터
안철수연구소는 다수의 샘플과 감염내용을 접수 받았다. 메일로 전파되며, 메일에 첨부된 파일을 실행하지 않아도 아웃룩, 아웃룩 익스프레스의 보안상
취약점을 이용하여 첨부된 파일이 자동실행된다. 또한 Win32/FunLove.4099를 포함하고 있는 것이 특징이다.
- 전파되는 메일형식
보안패치가 안된 아웃룩이나 아웃룩 익스프레스에서는 메일을 읽기만 하여도
첨부된 웜이 자동 실행된다. 이 취약점에 대한 정보는 여기에서 참고한다.
보낸이: 감염된 시스템의 윈도우 사용자명
제목 : 감염된 시스템의 윈도우 회사명
본문:
Hello,
Product Name:
감염된 윈도우 버전
Product Id: 감염된 시스템의 Id
Product Key: 감염된 시스템의 Key
Process List:
메일을 보낸 시스템의 프로세스 리스트 (웜을 액세스 하려는 프로세스)
Thank you.
첨부파일명: Readme.exe (114,687 바이트)
웜은 비주얼 베이직으로
작성되었다. 메일 본문에는 감염된 사용자의 OS 명과 Product Id, Product Key, 그리고 메일을 보낸 시스템의 약간의 프로세스
리스트가 보여진다. 윈도우 Product Key 가 유출될 수 있으므로 해당 버전의 OS 설치 CD가 있다면 다른 사용자가 해당 CD 키로
설치가 가능하기도 한다.
- 실행후 증상
* 웜은 윈도우 NT
(NT, 2000, XP) 계열의 시스템에서는 '올바르지 않은 Win32 응용 프로그램' 에러 메시지를 출력하고 실행되지 않는다.
웜은 이미 알려진 Win32/FunLove.4099를 가지고 있어 웜이 실행되면 바이러스도 동시에 감염된다.
첨부된
Readme.exe (114,687 바이트) 가 실행되면 윈도우 시스템 폴더와 (일반적으로 \Windows\System,
\WinNT\System32) 와 바탕화면에 웜 자신을 다음과 같은 파일명으로 복사해둔다. 또한 Win32/Nimda 가 *.eml를 생성한 것
처럼 같은 형식의 *.eml 파일을 생성한다.
- 윈도우 시스템 폴더
* regedit.exe
(Win32/FunLove.4099 에 감염된 경우 크기는 약 118,787 바이트)
- 바탕화면
*
Explorer.exe (Win32/FunLove.4099 에 감염된 경우 크기는 약 118,787 바이트)
* Help.eml
(158,516 바이트)
웜이 생성한 regedit.exe 로 인하여 윈도우 폴더에(일반적으로 C:\Windows, C:\WinNT) 위치한 정상적인
regedit.exe 가 시작 -> 실행위치에서 실행되지 않는다. 또한 바탕화면의 Explorer.exe 는 바탕화면에 기본적으로 존재하는
Internet Explorer 의 아이콘과 같으므로 실행하지 않도록 주의해야한다.
Help.eml 은 Win32/Nimda 가
생성한 *.eml 과 유사하며 탐색기등에서 미리보기 될 때 보안패치가 안 된 시스템은 첨부된 웜이 자동실행된다.
또한 웜 내부에
포함된 Win32/FunLove.4099 는 내부 텍스트와 생성되는 파일명만 변경 되었을뿐 기존 V3로 진단, 치료가 가능하다. 변경된 파일은
기존의 FLCSS.EXE에서 BRIDE.EXE 이며 윈도우 시스템 폴더에(일반적으로 \Windows\System, \WinNT\System32)
생성된다.
그리고 웜은
다음과 같은 레지스트리 값을 수정하여 부팅시마다 실행되도록 한다.
HKEY_CURRENT_USER\
Software\
Microsoft\
Windows\
CurrentVersion\
Run regedit c:\(윈도우 시스템
폴더)\regedit.exe <- 추가한다.>
- 전파대상
및 방법
웜은 다음과 같은 파일에서 메일주소를 가져오며
*.htm, *.dbx
레지스트리에 설정된 SMTP를 이용하여 메일을 발송한다.
- 그외
증상
웜은 자신을 액세스 하려는 응용 프로그램을 종료하는 특징이 있다.
Win32/Bride.worm.114690 <- 2002년11월06일 발견>
Win32/Bride.worm.114690 는 V3의 진단명은 아니며 단지 Win32/Bride.worm.114687 과 구분하기
위하여 편의상 붙인 이름이다. 2002년 11월 6일 안철수연구소는 고객들에게 다수의 샘플과 감염내용을 접수 받았다. 이 변형은 기존의 엔진으로
진단, 삭제가 가능하다.
위 정보에 쓰여진 Win32/Bride.worm.114687 과 다른점은 다음과 같다.
-
웜의 크기가 3 바이트 다름 (114,690 바이트)
- 윈도우 NT 계열의 시스템에서도 정상적으로 동작
이 정보는
2002년 11월04일 16시 45분에 최초작성 되었으며 2002년 11월06일 14시 00분에 수정되었다. |
※ 이 글은 안철수바이러스연구소(http://ahnlab.com)에서 갈췌했습니다. |
