전체메뉴알림·소식
새소식
기타
바이러스(VBS/BubbleBoy)에 대하여
전산실
/
1999. 11. 13.
/
3679
1) 이름: vbs/bubbleboy
2) 다른이름: vbs_bubbleboy,outlook_worm.bubbleboy,
i-worm.bubbleboy
3) 제작지: 국외 아르헨티나 (1999년 11월 발견)
4) 국내발견: 미발견
5) 종류: 스크립트 웜
6) 특성: 아웃룩으로 메일을 읽는것만으로 감염된다.
7) 증상: 메시지 출력
8) 내용:
vbs/bubbleboy 웜은 '비주얼베이식스크립트'(visual basic scrips)로 만들어진 웜으로
1999년 11월 초 발견되었다. 아르헨티나의 자칭 zulu가 만들었으며 zulu는 vbs/freelink,
vbs/monopoly 등의 스크립트 웜을 제작한 사람이기도 하다.
제작자는 이 웜을 백신제작자들에게 메일로 보냈고 자신의 홈페이지에 공개했다.
현재 일반에 퍼졌다는 보고는 없다.
첨부파일이 없는 첫 email 웜으로 "georgi guninski"가 발견한 microsoft outlook
(outlook express 포함)과 internet explorer 5의 보안상 허점을 이용하였다.
메일자체는 html 형식으로 되어 있으며 내부에 스크립트를 포함하고 있다.
따라서 스크립트를 실행하지 않는 옵션설정이나 아웃룩,아웃룩 익스프레스 등으로
메일을 읽지 않으면 웜은 실행되지 않는다.
사용자에게 보내지는 메일의 제목은 "bubble is back!"이며 아래의 내용을 가지고
있다.
"the bubbleboy incident, picture and sounds http://www.towns.com/dorms/tom/bblboy.htm"
위 사이트는 이 웜과 상관없다.
이 메일을 아웃룩으로 읽으면 내부에 포함된 스크립트가 자동실행되며 아래의 곳에 파일을
설치하려고 시도한다.
(영문과 스페인 버전의 windows 시작 폴더이다.)
"c:\windows\start menu\programs\startup\update.hta"
"c:\windows\menu indicio\programs\inicio\update.hta"
다음번 부팅때부터 스크립트는 자동 실행되며 다른 사람들에게 메일을 보내고 아래와 같은
메시지도 출력한다.
"system error, delete "update.hta" from the startup folder to solve this problem."
microsoft outlook 98, outlook 2000과 internet explorer 5 환경에서 메일을 읽을 경우에만
웜이 자동 실행된되며 vbs를 실행하지 않는 다른 뷰어로 볼 경우 실행되지 않는다.
한글 windows에선 감염되지 않는다.
현재 마이크로소프트사는 보안상의 문제를 해결한 패치를 제공하고 있으며 아래 주소에서
패치를 받을 수 있다.
http://www.microsoft.com/security/bulletins/ms99-032.asp
현재 두가지 버전이 존재하며 후에 발견된 버전은 스크립트가 암호화되어있다.
2) 다른이름: vbs_bubbleboy,outlook_worm.bubbleboy,
i-worm.bubbleboy
3) 제작지: 국외 아르헨티나 (1999년 11월 발견)
4) 국내발견: 미발견
5) 종류: 스크립트 웜
6) 특성: 아웃룩으로 메일을 읽는것만으로 감염된다.
7) 증상: 메시지 출력
8) 내용:
vbs/bubbleboy 웜은 '비주얼베이식스크립트'(visual basic scrips)로 만들어진 웜으로
1999년 11월 초 발견되었다. 아르헨티나의 자칭 zulu가 만들었으며 zulu는 vbs/freelink,
vbs/monopoly 등의 스크립트 웜을 제작한 사람이기도 하다.
제작자는 이 웜을 백신제작자들에게 메일로 보냈고 자신의 홈페이지에 공개했다.
현재 일반에 퍼졌다는 보고는 없다.
첨부파일이 없는 첫 email 웜으로 "georgi guninski"가 발견한 microsoft outlook
(outlook express 포함)과 internet explorer 5의 보안상 허점을 이용하였다.
메일자체는 html 형식으로 되어 있으며 내부에 스크립트를 포함하고 있다.
따라서 스크립트를 실행하지 않는 옵션설정이나 아웃룩,아웃룩 익스프레스 등으로
메일을 읽지 않으면 웜은 실행되지 않는다.
사용자에게 보내지는 메일의 제목은 "bubble is back!"이며 아래의 내용을 가지고
있다.
"the bubbleboy incident, picture and sounds http://www.towns.com/dorms/tom/bblboy.htm"
위 사이트는 이 웜과 상관없다.
이 메일을 아웃룩으로 읽으면 내부에 포함된 스크립트가 자동실행되며 아래의 곳에 파일을
설치하려고 시도한다.
(영문과 스페인 버전의 windows 시작 폴더이다.)
"c:\windows\start menu\programs\startup\update.hta"
"c:\windows\menu indicio\programs\inicio\update.hta"
다음번 부팅때부터 스크립트는 자동 실행되며 다른 사람들에게 메일을 보내고 아래와 같은
메시지도 출력한다.
"system error, delete "update.hta" from the startup folder to solve this problem."
microsoft outlook 98, outlook 2000과 internet explorer 5 환경에서 메일을 읽을 경우에만
웜이 자동 실행된되며 vbs를 실행하지 않는 다른 뷰어로 볼 경우 실행되지 않는다.
한글 windows에선 감염되지 않는다.
현재 마이크로소프트사는 보안상의 문제를 해결한 패치를 제공하고 있으며 아래 주소에서
패치를 받을 수 있다.
http://www.microsoft.com/security/bulletins/ms99-032.asp
현재 두가지 버전이 존재하며 후에 발견된 버전은 스크립트가 암호화되어있다.
- 이전글 11월의 공지사항
- 다음글 헌법재판연구원 채용공고
- 우편번호 03060 서울특별시 종로구 북촌로 15 (재동 83)
- 대표전화 02-708-3456
- 대표팩스 02-708-3566
- webmaster@ccourt.go.kr
Copyright 2020 Constitutional court of Korea all rights reserved.