©1995-2006
시만텍 주식회사
All rights reserved.


법적 고지사항
개인정보보호정책

W32.Beagle.B@mm

W32.Beagle.B@mm은 대량 메일 전송하는 웜으로써 TCP 포트 8866에 백도어(Backdoor)를 개방합니다. 메일 전송하는데 자체 SMTP엔진을 사용하고 개방해 놓은 백도어 포트와 무작위로 작성한 ID 번호를 통해서 웜 제작자와 접속할 수 있는 능력이 있습니다.

이 전자 메일은 다음과 같은 특징을 지녔습니다.

발신자: <위장된 주소>
제목: ID <무작위 문자>... thanks
첨부 파일: <무작위 문자>.exe

• 베타 바이러스 정의 27975, 2월 17일 오전 5시 20분(미국 서부 시간) 또는 이후 바이러스 정의
• 초기에 제작된 정의에서는 W32.Alua@mm 또는 W32.Aula@mm으로 탐지됨
• 시만텍 보안 연구소(Symantec Security Response)에서 웜을 제거할 수 있는 전용 제거 도구 제작 및 배포

다른 이름:	W32.Alua@mm, Win32/Bagle.B.Worm [Computer Associates], Bagle.B [F-Secure], W32/Bagle.b@MM [McAfee], W32/Bagle.B@mm [Norman], WORM_BAGLE.B [Trend Mirco], W32/Bagle.B.worm [Panda], W32/Tanx-A [Sophos]
감염 길이:	11,264 Bytes

베타 바이러스 정의 2004/02/17 바이러스 정의 (Intelligent Updater) * 2004/02/17 바이러스 정의 (LiveUpdate™) ** 2004/02/17 * Intelligent Updater 바이러스 정의는 매일 제공되며 직접 다운로드 및 설치해야 합니다. 직접 다운로드하려면 여기를 누르십시오. ** 일반적으로 LiveUpdate 바이러스 정의는 매주 목요일에 제공됩니다. LiveUpdate 사용에 대한 지침은 여기를 누르십시오.

감염 위험도: 감염된 PC: 0 - 49 감염된 사이트: 0 - 2 지리적 확산도: 낮음 위험도: 쉬움 제거 가능성: 보통

위험도 감염 위험도: 중간 피해도: 중간 배포: 높음

피해도

• 페이로드 발생 조건: 해당 사항 없음
• 감염 증상: 해당 사항 없음
  • 대량 전자 메일 발송: 해당 사항 없음
  • 파일 삭제: 해당 사항 없음
  • 파일 수정: 해당 사항 없음
  • 성능 저하: 해당 사항 없음
  • 시스템 불안정성 유발: 해당 사항 없음
  • 개인 정보 유출: 해당 사항 없음
  • 보안 설정 손상: 해당 사항 없음

배포

• 전자 메일 제목: 해당 사항 없음
• 첨부 파일 이름: 해당 사항 없음
• 첨부 파일 크기: 해당 사항 없음
• 첨부 파일 시간 기록 (time stamp): 해당 사항 없음
• 포트: 해당 사항 없음
• 공유 드라이브: 해당 사항 없음
• 감염 대상: 해당 사항 없음

W32.Beagle.B@mm이 실행될 때, 다음과 같은 현상이 발생합니다.

1. 시스템 날짜를 확인하여 2004년 2월 25일이후인 경우, 웜은 실행되지 않습니다.
   
2. %시스템 폴더%\au.exe에서 실행되지 않은 경우, sndrec32.exe (Windows 사운드 레코더)을 실행합니다.
   
   

   ---

   참고: 시스템 폴더의 위치는 운영 체제마다 다를 수 있습니다. 웜은 시스템 폴더의 위치를 파악하고 그곳에 자신을 복제해 놓습니다. 운영 체제에 따라 기본 설정은 아래와 같습니다.
   
   Windows 95/98/Me: C:\Windows\System
   Windows NT/2000: C:\Winnt\System32
   Windows XP: C:\Windows\System32

   ---

3. %시스템 폴더%\au.exe 파일이 존재하지 않는 경우, 웜은 그 위치에 복사될 것입니다.
   
4. 다음 레지스트리에
   
   HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   
   아래의 값을 추가합니다.
   
   "au.exe"="%System%\au.exe"
   
   이와 같은 변경 사항은 Windows가 시작할 때 웜이 실행되도록 합니다.
   
   
5. 다음 레지스트리에
   
   HKEY_CURRENT_USER\SOFTWARE\Windows2000
   
   다음 두 값을 추가합니다.
   
   
   • "frn" = "0x00000001" or "frn" = "0x00000000"
   • "gid" = "<무작위 번호>"
     
     "gid" 값에 추가된 무작위 값은 웜 제작자가 시스템을 식별하는데 사용합니다.
     
     
6. TCP 포트 8866에 백도어(Backdoor)를 개방하여 침입자가 파일을 저장할 수 있도록 합니다. 저장되는 모든 파일은 시스템 폴더에 저장되고 실행됩니다.
7. 매 10,000초마다 HTTP GET 명령을 TCP 포트 80을 통해서 아래의 웹사이트로 전송합니다.
   
   • www.strato.de/1.php
   • www.strato.de/2.php
   • www.47df.de/wbboard/1.php
   • www.intern.games-ring.de/2.php
     
     GET 명령은 감염된 시스템에 개방해 놓은 포트 번호 및 Windows 레지스트리 "gid" 값에 저장해 놓은 ID 번호를 포함합니다. 웹서버에 접속함으로써, IP 주소로 함께 전송됩니다.
     
     
8. 로컬 드라이브에서 아래의 확장자를 가진 파일을 검색하여 전자 메일 주소를 수집합니다.
   
   • .wab
   • .txt
   • .htm
   • .html
     
     
9. 그리고 나서 자신의 SMTP 엔진을 통해서 수집한 메일 주소로 스스로 복제 전송합니다. 웜은 MIME 인코딩 루틴을 포함하며, 메모리 위에서 메일을 작성하여 수집한 메일 주소로 전송합니다.
   
   이 전자 메일은 다음과 같은 특징을 지녔습니다.
   
   발신자: <위장된 주소>
   제목: ID <무작위 문자>... thanks
   내용:
   
   사용자 ID <무작위 문자>
   - -
   Thank
   
   첨부파일: <무작위 문자>.exe
   
   
10. 메일 주소가 아래의 문자를 포함하는 경우, 메일을 전송하지 않습니다.
    
    • @hotmail.com
    • @msn.com
    • @microsoft
    • @avp.
      

시만텍 보안 연구소는 모든 사용자 및 관리자가 다음 기본 보안을 "최상의 성능"을 준수하도록 권장합니다.

• 필요하지 않은 서비스는 끄고 제거하십시오. 기본 설정으로, 많은 운영 체제는 FTP 클라이언트, 텔넷 및 웹 브라우저와 같이 중요하지 않은 추가 서비스를 설치합니다. 이러한 서비스는 공격에 취약합니다. 이들 서비스가 제거되면 혼합된 위협의 가능성이 줄어들고 패치 업데이트를 통해 유지 보수해야 하는 서비스가 줄어들게 됩니다.
• 혼합된 위험이 여러개의 네트워크 서비스를 이용하는 경우, 패치를 적용할 때까지 이들 서비스의 실행을 중지하거나 액세스를 차단하십시오.
• 특히 HTTP, FTP, 메일 및 DNS 서비스와 같은 공용 서비스를 호스트 연결하고 방화벽을 통해 액세스할 수 있는 시스템의 패치 수준을 최신으로 유지하십시오.
• 암호 정책을 실행하십시오. 복잡한 암호를 사용하면 감염된 시스템에서 암호 파일의 파괴가 어려워 집니다. 이렇게 하면 시스템이 감염되었을 때 손상을 방지 또는 제한하는 데 도움이 됩니다.
• .vbs, .bat, .exe, .pif and .scr 파일과 같이 바이러스를 확산하는 데 일반적으로 사용되는 첨부 파일을 포함하는 전자 메일을 차단하거나 제거하도록 전자 메일 서버를 설정하십시오.
• 감염된 시스템을 즉시 분리시키면 이후에 사용자 조직의 손상을 방지합니다. 논리적인 분석을 수행하고 신뢰받는 미디어를 사용하는 시스템을 저장하십시오.
• 내용이 예상되는 첨부 파일이 아닌 경우, 직원들이 이러한 파일을 열지 않도록 하십시오. 또한 바이러스 검사를 완료하지 않은 경우, 인터넷에서 다운로드한 소프트웨어를 사용하지 마십시오. 특정 브라우저 취약성이 보안되지 않은 경우, 손상된 웹 사이트를 방문하는 것 만으로 감염을 유발할 수 있습니다.

시만텍 보안 연구소(Security Response)에서는 W32.Beagle@mm을 제거할 수 있는

1. Windows Me/XP 시스템 복원 기능 중지
2. 바이러스 정의 업데이트
3. 전체 시스템 검사를 실행하고 W32.Beagle.B@mm로 탐지된 모든 파일을 삭제하십시오.
4. 레지스트리에 추가된 값 제거

• Windows Me 시스템 복원을 실행 중지하거나 실행하는 방법
• Windows XP 시스템 복원을 실행 중지하거나 실행하는 방법

• LiveUpdate는 바이러스 정의를 업데이트 하는 가장 쉬운 방법입니다. 바이러스 정의는 위급한 바이러스 확산이 발생하지 않는 한 LiveUpdate 서버에 매주 목요일에 게시됩니다. 이 바이러스에 관한 정의가 LiveUpdate에 포함되어 있는지 확인하려면 문서 첫 부분의 바이러스 정의(LiveUpdate)를 참조하십시오.
• Intelligent Updater를 통해 바이러스 정의를 다운로드 하는 방법: Intelligent Updater 바이러스 정의는 평일(월 – 금)에 게시됩니다. Intelligent Updater 바이러스 정의는 시만텍 보안 연구소(Symantec Security Response) 웹 사이트를 통해 다운로드 받아야 하며 사용자가 직접 설치해야 합니다. 이 바이러스에 관한 정의가 Intelligent Updater에 포함되어 있는지를 확인하려면 바이러스 정의(Intelligent Updater)를 참조하십시오.
  
  Intelligent Updater 바이러스 정의는 여기에서 다운로드 받을 수 있습니다. 자세한 내용은 Intelligent Updater를 사용하여 바이러스 정의 파일을 업데이트하는 방법을 참조하십시오.
  

1. 시만텍 안티바이러스 소프트웨어를 시작하고 모든 파일을 검사하도록 설정되어 있는지 확인하십시오.
   
   • Norton AntiVirus 개인 사용자용 제품군: Norton AntiVirus에서 모든 파일 검사하는 방법을 참조하십시오.
   • Symantec Enterprise 안티바이러스 제품군: 다음 문서 시만텍 기업용 안티바이러스 제품에서 모든 파일 검사하는 방법를 참조하십시오.
     
     
2. 전체 시스템 검사를 실행하십시오.
3. W32.Beagle.B@mm에 감염된 것으로 탐지된 파일이 있으면 [삭제]를 누르십시오.

1. Windows 작업 메뉴에서 [시작] > [실행]을 누르십시오. ( [실행] 대화 상자가 나타납니다.)
   
2. 실행 대화창에 아래의 명령어를 입력하십시오.
   
   regedit
   
   그런 다음 [확인]을 누르십시오. [레지스트리 편집기]가 열립니다.
   
   
3. 다음 키를 찾으십시오.
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   
   
4. 오른쪽 창에서 다음 값을 삭제하십시오.
   
   "au.exe"="%System%\au.exe"
   
   
5. 레지스트리 편집기를 종료하십시오.

작성자: Benjamin Nahorney & Fergal Ladley