전농동성당 게시판

엥?

글을 올렸는데 없어졌네요

후후후

- 윈도우 시스템 폴더에 WQK.EXE (11,722 바이트) 생성

내용 Win32/Klez.worm은 2001년 10월 26일 발견된 웜으로 정보를 작성하는 현재까지

안철수연구소는 고객에게 실제 감염 보고는 받지 않았다.

메일과 네트웍 드라이브로 퍼지며 메일 발송은 아웃룩이 아닌 SMTP 서버를 이용한다.

보안패치가 되어있지 않은 아웃룩으로 해당 메일을 읽을 경우 첨부된 파일이 자동으

로 실행되어 웜에 감염된다.

메일 제목은 다음에서 랜덤하게 결정된다.

Hi

Hello

How are you?

Can you help me?

We want peace

Where will you go?

Congratulations!!!

Don’t cry

Look at the pretty

Some advice on your shortcoming

Free XXX Pictures

A Free hot porn site

Why don’t you reply to me?

How about have dinner with me together?

Never kiss a stranger

다음과 같은 메시지를 암호화하여 저장하고 있다.

I’m sorry to do so,but it’s helpless to say sorry.

I want a good job,I must support my parents.

Now you have seen my technical capabilities.

How much my year-salary now? NO more than $5,500.

What do you think of this fact?

Don’t call my names,I have no hostility.

Can you help me?

사용자가 웜 파일을 실행하면 화면엔 아무것도 출력되지 않고 수 초 동안 하드디스크

를 읽는다. 윈도우 시스템 폴더 (일반적으로 C:\Windows\System)에 KRN132.EXE과

WQK.EXE (11,722 바이트)을 생성한다. 이들 파일은 시스템과 숨김 속성이므로 탐색기

에서 보이지 않을 수도 있다.

간혹 실행시 윈도우 임시 폴더에서 파일을 찾을 수 없다는 오류가 발생 할 수도 있다.

실행 파일명은 웜이 실행될 때마다 임의로 바뀐다.

WQK.EXE 파일은 Win95/Elkern 바이러스를 포함한 파일로 윈도우가 실행될 때 자동으

로 실행되며 웜과 별도로 EXE 파일을 감염시키는 별개의 바이러스이다.

첨부되는 파일은 57,355 바이트의 길이를 가지지만 웜에 Win95/Elkern 바이러스가 감

염될 가능성이 높으므로 파일 길이가 더 커질 수 있다.

아래 레지스트리에 웜과 바이러스 파일을 추가해 다음번 부팅 때도 자동으로 실행되도

록 한다.

"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\Run"

치료방법 * 긴급 업데이트된 2001년 10월 27일자 엔진으로 업데이트후 진단, 치료가

가능하다.

* 위 내용에 있는 메일 제목을 가지는 메일을 받았다면 삭제하도록 한다.

1. 업데이트된 엔진으로 검사하여 진단된 파일중 Win32/Klez 파일은 삭제하는 것이 치

료이며 Win95/Elkern 바이러스는 치료가능하다.

2. 진단된 파일중 Win95/Elkern 바이러스 원형은 삭제하도록 한다.  

참고사항 아웃룩(익스프레스)의 보안패치 정보는 다음의 내용을 참고한다.

아웃룩(익스프레스)보안패치 정보