[신종]파괴적인 Mantas P2P 웜 분석 정보

이 웜은 exe, scr, com, txt, doc, html, jpg, gif, ico, bmp 등의 파일을 순식간에 웜이 겹쳐쓰기하는 매우 파괴적인 증상을 가지고 있어 주의가 요망됩니다.
현재 대부분의 백신에서 진단이 되지 않고 있는데 그 이유가 이미 감염된 시스템은 시스템 작동이 불능이 되는것 때문으로 보입니다.

감염자가 이미 피해를 보았을때는 컴퓨터 작동이 불가능할 상황이기 때문에 신고조차도 어렵기 때문이구요.

또한 이미 감염된 시스템에서는 웜으로 겹쳐쓰기된 시스템 파일을 백신으로도 복구할 수 없기 때문에 예방하지 못하면 큰 피해를 볼 수 있습니다.

이 웜은 긴급하게 일부 국내 백신업체에 신고된 상태입니다.

각종 P2P 프로그램으로 확산되는 웜으로 P2P 프로그램 사용자는 확인되지 않는 불법 프로그램은 사용을 하지 마시기 바랍니다.

확인 결과 이 웜은 Microsoft Visual C++ 언어로 제작되어 있으며, UPX 로 실행압축되어 있습니다.

40,960 바이트이며 UPX 실행압축을 해제하면 65,536 바이트입니다.

아래 정보는 AVZONE 운영자가 실제 감염 테스트한 자료를 바탕으로 알려드리오니 참고해 주시기 바랍니다.

이 웜이 실행되어 감염되면 레지스트리에 추가되어 재부팅시 자동실행 됩니다.

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

"Windows Manager" = "%system%winmants.exe"

하지만 재부팅이 되지 않더라도 이미 실행되는 순간 컴퓨터에 존재하는 (실행중이지 않은)모든 exe, com, scr 실행파일등이 웜에 의해서 파괴됩니다.

그렇기 때문에 재부팅이 될 경우 컴퓨터가 정상적으로 부팅되지 않습니다.


신종 eMule P2P 웜도 주의를 요합니다. Worm.P2P.Wanado.b[KAV] / W32/Reur.worm!p2p [NAI] / W32.HLLW.Wanado [Symantec],특히 이뮬 사용자분들은 주의해 주시기 바랍니다. 급속도로 확산중입니다. 이것도 백신플그램이 인식 못합니다. 이 웜은 Borland 사의 Delphi 고급언어로 제작된 외국산 웜입니다. 백신업체 작업중.