35.16.61
첨부 파일 : Esel_Update.Exe(8,704 바이트)
[증 상]
1.윈도우 폴더에 ‘Esel_Update.exe’라는 이름으로 웜 파일을 복사 시키고, 윈도우 시스템폴더에는 ‘Edonkey.scr’이라는 이름으로 역시 웜 파일을 복사 시킨다.
2.윈도우 폴더의 복사 시킨 ‘Esel_Update.exe’파일을 다음 위치의 레지스트리에 추가하고 윈도우 시작시 자동으로 실행되도록 한다.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices 줄에
이름 : [Default](기본값)
데이터 : (윈도우 폴더)Esel_Update.exe
- 확산과 파일 생성 이외에는 특별한 파괴 증상이 존재하지 않는다.
[표기법]
"(윈도우 시스템 폴더)"란 일반적으로 Win95/98/ME에서는 C:\Windows\System 폴더이고, WinNT/2000 에서는 C:\Winnt\System32이며, WinXP에서는 C:\Windows\System32 이다.
"(윈도우 폴더)란 일반적으로 Win95/98/ME/XP에서는 C:\Windows 폴더이고, WinNT/2000에서는 C:\WINNT 이다.
*최초 작성 : 2002년 5월 31일 오후 1시 35분 HAURI Inc.
치료방법
[감염 사전 예방 방법]
e메일로 전파되는 웜 이므로 다음의 메시지로 도착한 메일의 첨부 파일은 실행시키지 말고 삭제 시키면 감염되지 않는다.
제 목 : Edonkey Update
본 문 : Hello Edonkey User,
this is the Update tool, to fix our Edonkey Client to 35.16.61
첨부 파일 : Esel_Update.Exe(8,704 바이트)
[감염 후 수동 치료 방법]
1.윈도우 폴더에서 다음의 파일 이름을 찾아 삭제 시킨다. ‘Esel_Update.exe’(8,704 바이트)
2.윈도우 시스템 폴더에서 다음의 파일 이름을 찾아 삭제 시킨다. ‘Edonkey.scr’(8,704 바이트)
3.레지스트리 편집기를 이용하여 아래의 경로에 존재하는 데이터를 삭제한다.
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices" 줄에
데이터 : (윈도우 폴더)Esel_Update.exe