Win32/Nimda 에 감염되면 생성되는 파일정리 (변형포함)
-Win32/Nimda에 의해 생성되는 파일 정리(변형 포함) 2001년 11월 1일 기준
| V3 진단명 (엔진 추가된 날짜) |
Win32/ Nimda (2001/09/19) |
Win32/ Nimda.27136 (2001/10/09) |
Win32/ Nimda.28672 (2001/10/12) |
Win32/ Nimda.B (2001/10/29) |
Win32/ Nimda.27138 (2001/11/01) |
|
| 메일에 첨부 파일명 | README.EXE (57,344 바이트) |
PUTA!!.SCR (27,136 바이트) |
README.EXE (28,672 바이트) |
SAMPLE.EXE (57,344 바이트) |
README.EXE (27,138 바이트) |
|
| 감염된 서버 (Windows NT / 2000) |
루트 | ADMIN.DLL (57,344 바이트) |
ADMIN.DLL (27,136 바이트) |
ADMIN.DLL (28,672 바이트) |
HTTPODBC.DLL (57,344 바이트) |
ADMIN.DLL (27,138 바이트) |
| WinNT폴더 | MMC.EXE (57,344 바이트) |
MMC.EXE (27,136 바이트) |
MMC.EXE (28,672 바이트) |
CSRSS.EXE (57,344 바이트) |
MMC.EXE (27,138 바이트) |
|
| System32 폴더 | LOAD.EXE RICHED20.DLL (57,344 바이트) |
PUTA.SCR RICHED20.DLL (27,136 바이트) |
LOAD.EXE RICHED20.DLL (28,672 바이트) |
LOAD.EXE RICHED20.DLL (57,344 바이트) |
LOAD.EXE RICHED20.DLL (27,138 바이트) |
|
| 감염된 클라이언트 (Windows9x) |
루트 | 없음 | 없음 | 없음 |
없음 | 없음 |
| Windows 폴더 | 없음 | 없음 | 없음 |
없음 | 없음 | |
| System 폴더 | LOAD.EXE RICHED20.DLL (57,344 바이트) |
PUTA.SCR RICHED20.DLL (27,136 바이트) |
LOAD.EXE RICHED20.DLL (28,672 바이트) |
LOAD.EXE RICHED20.DLL (57,344 바이트) |
LOAD.EXE RICHED20.DLL (27,138 바이트) |
|
| 감염된 웹사이트를 통한 다운로드 파일 | README.EML (79,255 바이트) |
PUTA!!.EML (37,889 바이트) |
README.EML (39,991 바이트) |
README.EML (79,232 바이트) |
README.EML (37,889 바이트) |
|
| 특징 | 내부 문자열:Concept Virus(CV) V.5, Copyright(C)2001 R.P.China | 바이러스 자체를 실행파일 압축 프로그램으로 압축하여 원형에 비하여 크기가 작으며 이는 기존 백신의 진단을 피하기 위함. | 바이러스 자체를 실행파일 압축 프로그램으로 압축하여 원형에 비하여 크기가 작으며 이는 기존 백신의 진단을 피하기 위함. | 내부 문자열:Concept Virus(CV) V.6, Copyright(C)2001, (This's CV,No Nimda.) | 내부 문자열:HoloCaust Virus.! V.5.2 by Stephan Fernandez.Sp ain실행파일 압축 프로그램으로 압축. |
|
- 윈도우 \Temp 폴더에 생성되는 MEP*.TMP, MEP*.TMP.EXE 파일은 제외
- Win32/Nimda.B가 패킷형태로 IIS 서버에 보내어 생성되는 COOL.DLL (57,344 바이트) 파일은 제외
- Win32/Nimda에 의해 로컬드라이브내 폴더및 네트워크 드라이브내 생성되는 *.EML, *. NWS, RICHED20.DLL 파일은 제외
- Microsoft Web Folder Transversal vulnerability 에 의해 IIS 운영중 NT, 2000 서버등에 생성되는 TFTPxxxx 파일은 제외