Win32:Gatina-B 웜바이러스

2007.02.22 16:00새로운 소식

Win32:Gatina-B

Win32:Gatina-B는 일부 시스템 기능을 불가능하게 하고 보안관련 어플리케이션을 차단하는 대량 메일발송을 하는 웜 바이러스입니다.

Type Worm
Aliases Worm/Pintae.A, W32.Pintae.A@mm, W32/Sillyworm.WI,
W32/Namuki, W32/Vanneo.B.worm
VPS version February 12, 2006 (0712-7)
Platform Windows
File size 40,960 bytes


설명

Win32:Gatina-B 가 실행되면 다음 파일을 포함하여 자체 복사하게됩니다:

  • %USERPROFILE%\Start Menu\Programs\Startup\MSKernell.bat
  • %SYSTEM%\AutoRun.bat
  • %WINDOWS%\Exit to DosPrompt.pif
  • %WINDOWS%\Mails\DATA.DOC.exe
  • %WINDOWS%\Mails\DOCUMENT.DOC.exe
  • %WINDOWS%\Mails\INFO.DOC.exe
  • %WINDOWS%\Mails\README.DOC.exe
  • %WINDOWS%\Mails\TAETAE.TXT.exe

그리고 Win32:Gatina-B는 윈도우가 시작될때마다 새 레지스트리를 등록합니다:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NOYPI_KANG_ASTI = "%WINDOWS%\Exit to DosPrompt.pif"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\taetae = "%WINDOWS%\Exit to DosPrompt.pif"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\TANG_INA_MO = "%SYSTEM%\AutoRun.bat"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\taengtae = "%SYSTEM%\AutoRun.bat"








 
Win32:Gatina-B는 주로 관리도구에 관련한 시스템 기능을 사용못하게하며 일부 레지스트리를 변경합니다:










































HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr = "1"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools = "1"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions = "1"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFind = "1"
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions NoFindFiles = "1"

Win32:Gatina-B는 대량 메일을 보내는 메일링 웜바이러스입니다. 이는 바이러스 자체를 메일의 첨부파일로 발송하며 윈도우 주소록에서 발견된 메일주소로 대량 바이러스 메일을 발송합니다. 다음과 같은 특성이 있습니다 ::

  1. 보낸사람 주소 (다음 중의 하나)
    • astig@hotmail.com
    • noypi@pinoy.com
    • Tae@Tae.com
    • vaNNeo@viruz.com
    • victim@victim.com
    • viruz@yahoo.com
    • lady_juana_cute@hotmail.com
  2. 제목 (다음 중의 하나):
    • CDO.Message
    • FILIPINO'S SECRETS
    • My Documents
    • My Victim
    • New Virus Information
    • Philippines Government Top Secret
    • TaeTae Virus Information
  3. 본문 (다음 중의 하나):
    • Hi! Look the Attach Document for more details about FILIPINOS...
    • HOY! PINOY AKO! BUO AKING LOOB MAY AGIMAT AKO... FOR MORE LYRICS CHECK THE ATTACH FILE...
    • If your computer has been infected by TaeTae Virus. Open the attach file and follow the instruction to remove the virus...
    • LYRICS OF BAMBOO AND OTHER BOY BAND
    • Please read the attach file for more information about computer virus...
    • The Government of the Philippines revealed the truth. For more information please read the Attach file...
  4. 첨부 파일 (다음 중의 하나):
    • DATA.DOC.exe
    • DOCUMENT.DOC.exe
    • INFO.DOC.exe
    • README.DOC.exe
    • TAETAE.TXT.exe

Win32:Gatina-B는 다음 목록에서 일부 어플리케이션/프로세스/윈도우를 차단하고 중지시킵니다. 이들 어플리케이션은 보안과 관련된 어플리케이션이며 시스템 관리 어플리케이션이나 윈도우 파일입니다.

  • Norton
  • AVP Monitor
  • Sygate Personal Firewall Pro
  • BitDefender
  • NOD32 Antivirus Program - [My Profile]
  • NOD32 Control Center
  • eTrust Antivirus - Local Scanner
  • F-Secure Anti-Virus
  • My Computer
  • Registry Monitor
  • Kaspersky Anti-Virus Monitor
  • HijackThis
  • Anti-Virus
  • BlackICE
  • Process Explorer - Sysinternals: www.sysinternals.com
  • Registry Monitor - Sysinternals: www.sysinternals.com
  • Norton AntiVirus Porfessional
  • Windows Security Center
  • Windows Firewall
  • Control Panel
  • Run"Turn Off Computer
  • Log off Windows
  • Command Prompt
  • Kaspersky Anti-Virus personal
  • AVG E-Mail Server Edition - Advanced Interface
  • AVG E-mail Server Edition - Basic Interface
  • AVG E-mail Server Edition - Control Centerr
  • Pop3trap
  • Ad-Aware SE Personal
  • Spybot - Search & Destroy
  • Sophos Anti-Virus - SWEEP
  • Anti-Trojan - Infection Monitor
  • Norton AntiVirus
  • Registry Editor
  • Windows Task Manager
  • System Configuration Utility
  • Services
  • AntiViral Toolkit Pro
  • Kaspersky Anti-Virus Scanner
  • Ad-aware 6.0 Personal
  • System Restore
  • WinPatrol
    기타 :
  • %WINDOWS% refers ro Windows instalation folder, by default it is:
    • C:\Windows (Windows 95, 98, Me, XP)
    • C:\Winnt (Windows NT, 2000)
  • %SYSTEM% refers to Windows system folder, by default it is:
    • C:\Windows\System (Windows 95, 98, Me)
    • C:\Winnt\system32 (Windows NT, 2000)
    • C:\Windows\System32 (Windows XP)
  • %USERPROFILE% refers to actual user profile, by default it is C:\Document and Settings\[Actual User] (it may differ - depends on the particular language)


  검사 및 제거

  avast!  0712-7 이후 버전 (2007년 2월 12일 이후)으로 검사 치료할 수 있습니다.