깨트리지는 않고 삭제를 하는 비슷한 바이러스가 있습니다,
본 바이러스의 변종인것 같으니, 신고도 한번 해보시기 바랍니다.
역시 P2P (프루나 , 이뮬 , 당나귀 등)로 퍼지는 것으로 님과 비슷한 다운경로 입니다.
| Win32/Nopir.worm.156658 |
|
|
|
|
최초 입력시간 : 2005. 04. 23 15:21 (GMT+9) |
최종 수정시간 : 2005. 04. 25 11:07 (GMT+9) |
|
| 다른이름 |
P2P-Worm.Win32.VB.cz, WORM_NOPIR.B, Del Trojan, W32/Nopir-B |
| 생성 파일명 |
Nctrup.exe |
| 대표적 증상 |
파일 관련 |
| 활동 플랫폼 |
윈도우 |
감염/설치 경로 |
다운로드 |
| 종류 |
웜 |
형태 |
실행파일 |
| 들어오는 포트 |
N/A |
나가는 포트 |
N/A |
| 제작국 |
불분명 |
특정활동일 |
특정일 활동 없음 |
| 최초 발견일 |
2005-04-21 (현지시각 기준) |
국내 발견일 |
2005-04-21 |
V3
대응정보 |
<!-- 안랩 대응 정보 -->
2005.04.23.00 엔진으로
이 바이러스를 진단할 수있습니다. |
2005.04.23.00 엔진으로
이 바이러스를 치료할 수있습니다. |
|
안철수연구소의 보안제품을 온라인으로 바로 구입하실 수 있습니다.
|
|
V3가 설치되어 있지 않은 고객께서는 V3Pro 2004 평가판을 무료로 이용하실 수 있습니다.
|
|
모든 V3 제품군의 최신 엔진 업데이트 내용을 여기에서 확인하실 수 있습니다.
|
|
<!-- 안랩 대응 정보 --> |
|
|
| 증상 및 요약 |
|
|
| Win32/Nopir.worm.156658 는 로컬 드라이브내 존재하는 모든 *.mp3, *.com 파일을 삭제하는 증상을 가지고 있다. *.com 확장자를 가진 파일중에서는 윈도우 부팅시 매우 중요한 파일인 ntdetect.com 파일도 삭제되므로 감염후 재부팅시 윈도우를 정상적으로 재부팅하지 못한다. 또한 감염중에 응용 프로그램을 실행하려고 할 때 마다 특정한 이미지를 보여주며 웜이 항상 먼저 실행되도록 해둔다. 자신을 전파시키기 위해서 P2P 프로그램중 eMule 이 설치된 폴더에 자신의 복사본을 생성해둔다. |
|
| 상세정보 |
|
|
* 확산정도
정보를 작성하는 2005년 4월 23일 14시 55분 (GMT+9 기준) 현재 안철수연구소는 고객으로부터 1건의 감염 보고를 받았다.
* 감염대상 및 전파방법
이 웜은 자체 확산력은 가지고 있지 않으며 단지 P2P 프로그램인 eMule 이 설치된 \Coming 폴더에 다음의 파일명으로 자신을 복사해둔다.
- (제거됨) Crack+Keygen By Razor.exe.
이 폴더는 공유된 폴더로서 eMule 에 접속되어 있는 경우 해당 P2P 네트워크에 접속된 다른 사용자들에게도 검색되어지는 폴더이다.
* 실행후 증상
웜이 실행되면 프로그램 파일폴더에 다음의 폴더를 만들고
- C:\Program Files\Projects Visual Studio.NET
다음의 파일명으로 실행된다.
- Nctrup.exe : (156,658 바이트)
그리고 레지스트리 다음의 값을 자신으로 변경하여 해당 확장자의 파일 실행시 자신이 연결되어 먼저 실행되도록 해둔다.
- *.exe
- *.com
- *.bat
- *.scr
- *.vbs
- *.vbe
- *.pif
실행될 때 다음의 윈도우를 보여준다.
또한 제어판, 레지스트리 관련 툴, 작업관리자를 실행하지 못하도록 레지스트리 값을 변경하기도 한다. 또한 이외에도 분석과 자신의 상태를 확인하기 위한 툴들의 실행을 방해하기도 한다.
* 파일 증상
웜은 모든 로컬 드라이브내 존재하는 다음의 확장자를 가진 파일을 삭제한다.
- *.mp3
- *.com
*.mp3 파일이 삭제된 경우 해당 디스크에 다른 파일관련 작업을 하지 않았다면 파일삭제 복구 프로그램으로 복구가 가능하다. *.com 파일중 C:\ 에 존재하는 ntdetect.com 파일도 삭제되는데 이 경우 다음번 부팅시 윈도우는 정상적으로 부팅되지 않는다. |
|
| 치료법 |
|
|
* V3Pro 2002 Deluxe / V3Pro 2004 / V3Net for Windows Server 사용자
1. 사용 제품을 실행 후 [업데이트] 버튼이나 업데이트 파일을 통해 최신 엔진 및 패치 파일로 업데이트 한다.
2. 검사할 드라이브를 지정하고 검사를 시작한다.
3. 프로세스에서 실행중인 관련 악성코드가 진단되면 안내되는 메시지의 '강제종료후 치료' 선택한다. 종료된 악성코드는 자동 치료(삭제)된다.
4. 프로세스 검사와 지정 드라이브 검사가 끝나면 치료창이 보여진다. 여기서 '전체목록치료' 버튼을 눌러 진단된 악성코드를 치료(삭제)한다.
5. 필요시 추가/변경 된 레지스트리 값은 자동수정된다.
* MyV3 사용자
1. MyV3 사이트( http://clinic.ahnlab.com/clinic/myv3.html 등)에 접속해 실행한다. 만약 MyV3의 액티브 X 컨트롤이 설치되어 있지 않다면 '보안 경고'창에서 '예'를 눌러 설치한다.
2. MyV3를 최신 버전으로 업데이트 된다.
3. 검사할 드라이브를 지정하고 [검사시작] 버튼을 눌러 검사를 시작한다.
4. 프로세스에서 실행중인 관련 악성코드가 진단되면 안내되는 메시지의 '강제종료후
치료' 선택한다. 종료된 악성코드는 자동 치료(삭제)된다.
5. 프로세스 검사와 지정 드라이브 검사가 끝나면 치료창이 보여진다. 여기서 '전체목
록치료' 버튼을 눌러 진단된 악성코드를 치료(삭제)한다.
6. 필요시 추가/변경 된 레지스트리 값은 자동수정된다.
|
|
