IT 벤처전용 소호 사무실 임대 - 오피스19 : 데이콤 보라넷 10Mbps/IP 무상제공

ㆍ주식회사 설립절차

ㆍ창업자금 지원 제도 정리

ㆍ접대비 세무처리 범위

ㆍ직장 4대 보험

ㆍ전세계 온라인 쇼핑 보고서

	3~4인 40만원-45만원 4~5인 50만원-55만원 5~6인 60만원-65만원 즉시입주가능

[주의]W32/Bagle@MM , WORM_BAGLE.A

- 글쓴이 : 오피스19

- 작성날짜 : 2004-01-20

- 조회수 : 2892

Win32/Bagle.worm.15872는 메일로 전파되는 웜으로 메일 제목이 Hi로 일정하며 첨부 파일은 임의의 EXE 파일의 계산기 아이콘을 하고 있다. 최초 실행시 계산기 프로그램(calc.exe)을 실행해 사용자를 속인다. 웜 자신은 윈도우 시스템 폴더에 bbeagle.exe로 복사된다. 2004년 1월 28일 이후 웜은 활동하지 않는다.

- 현재 확산

2004년 1월 18일에(한국시간 1월 19일 새벽) 최초 발견되었으며 한국 시간으로 1월 19일 아침부터 급속히 확산되었다. 2004년 1월 19일 13시 현재 안철수연구소는 39건 이상의 감염 보고를 받았다.

- 전파되는 메일형식

* 제목 : Hi
* 본문 : 'Test =)' 와 임의의 문자열 그리고 'Test, yep.'

예 1:
Test =)
nuqjuxrkdajixr
--
Test, yep.

예 2:
Test =)
lsfvkncdwehwall
--
Test, yep.

* 첨부파일 : 임의의 EXE 파일 (예: huemm.exe, umfnxhkma.exe )

- 감염 후 증상

웜 파일이 실행되면 특정 웹 사이트에 접속해 특정 스크립트를 실행하려 한다. 하지만, 현재 해당 사이트의 스크립트는 삭제되어 어떤 일을 하는지 알 수 없다. 이후 실행 중인 프로그램이 bbeagel.exe 파일이 아니면 계산기 프로그램(calc.exe)을 실행해 사용자가 계산기 프로그램으로 오해하도록 한다. 단, 웜은 2004년 1월 28일 이후 활동하지 않으므로 2004년 1월 28일 이후 웜 파일을 실행할 경우 그냥 종료된다.

윈도우 시스템 폴더(일반적으로 C:WinNTSystem32, C:WindowsSystem32)에 웜 파일을 bbeagle.exe로 복사한다.

다음 레지스트리를 추가해 윈도우 시작시 자동 실행되게 한다.

HKEY_CURRENT_USER
   Software
      Microsoft
         Windows
            CurrentVersion
               Run
의 d3dupdate.exe 키에 웜 파일 경로 등록 ( 예: C:WinNTSystem32bbeagle.exe )

- 전파대상 및 방법

웜은 다음의 확장자에서 메일주소를 수집하여 발송한다.

- .wab
- .txt
- .htm
- .html
- .r1

그러나 메일주소중 다음의 문자열이 포함된 경우는 발송하지 않는다.

- @hotmail.com
- @msn.com
- @microsoft
- @avp.

웜은 자체 SMTP 를 이용하여 메일을 발송하고 발송자의 주소를 속이는 증상을 가지고 있기도 하다.

- 특징적 증상

웜은 실행시 시스템 날짜를 확인해 2004년 1월 28일 이후일 경우(28일 포함) 실행되지 않는다.

또한 TCP/6777 포트를 웜이 실행되자마자 오픈해두며 다음과 같은 웜 내부에 하드코딩된 URL 로 연결을 시도하지만 해당 사이트에 존재하는 1.PHP 파일은 모두 존재하지 않았다.

http://www.elras(삭제).de/1.php
http://www.it-(삭제).de/1.php
http://www.getyour(삭제).net/1.php
http://www.dmde(삭제).de/1.php

- 중략 -

http://www.marder-(삭제).de/1.php
http://www.dvd-(삭제).com/1.php
http://www.sme(삭제).com/1.php

이 정보는 2004년 1월 19일 10시 45분에 최초로 작성되었으며 2004년 1월 19일 13시 44분에 최종 수정되었다.