[공지] 이메일이나 P2P를 통한 마이둠 변종 웜에 대한 안내 > 공지&이벤트

본문 바로가기
사이트 내 전체검색

HOME 커뮤니티 공지&이벤트

공지&이벤트

[공지] 이메일이나 P2P를 통한 마이둠 변종 웜에 대한 안내

페이지 정보

작성자 서진네트웍스 댓글 0건 조회 21,911회 작성일 05-05-10 11:14

본문

현재 e메일과 공유폴더를 통해, 무차별적으로 확산되는 `마이둠` 웜 변종(W32.Mydoom.AI)이 국내에 유입, 대량 확산되고 있습니다. 혹시나 의심이 되거나 우려가 되시는 경우, 아래 내용을 잘 참고하시어  피해가 발생하지 않도록 각별한 주의를 부탁드립니다.<?XML:NAMESPACE PREFIX = O />

이름

W32.Mydoom.AI

감염경로

메일과 P2P 의 공유폴더를 통해 확산 됩니다.

감염시
증상

1. Mydoom 웜의 변종입니다 .

2. 감염컴퓨터의 디스크를 검색하여 메일주소를 수집후 첨부파일이 포함된 메일을 발송합니다 .

3. 첨부파일을 실행시 윈도우즈의 시스템폴더와 레지스트리에 해당파일 및 키값이 생성됩니다 .

4. 보안관련 프로세스를 종료시킵니다 .

5. 메일과 P2P 의 공유폴더를 통해 확산됩니다 .

6. 바이러스백신제작업체와 관련된 웹사이트 접속을 막습니다 .

내용

1. 웜에 감염되는 아래 리스트에 해당되는 파일이 생성됩니다 .

- 윈도우즈시스템폴더 \\lsasrv.exe
- 윈도우즈시스템폴더 \\version.ini
- 윈도우즈시스템폴더 \\hserv.sys

2. 사용자 컴퓨터의 Temp 폴더에 텍스트 파일을 생성하며 notepad.exe 를 이용하여 해당 텍스트 파일이 오픈됩니다 .

3. P2P 프로그램의 공유폴더에 아래에 리스트에 있는 문자열을 가지며, 확장자가 .exe, .bat, .pif, .scr 인 파일을 생성합니다 .

winamp5
Ad-awareref01R349
winxp_patch
NeroBROM6.3.1.27

avpprokey
adultpasswds
porno
dcom_patches

K-LiteCodecPack2.34a
activation_crack
icq2004-final

* 윈도우즈폴더

- Win 2000/NT : C:\\WINNT\\
- Win XP : C:\\Windows\\
- Win 95/98/ME : C:\\Windows\\

* 윈도우즈시스템폴더

- Win 2000/NT : C:\\WINNT\\system32
- Win XP : C:\\Windows\\system32
- Win 95/98/ME : C:\\Windows\\system

1) 레지스트리에 아래와 같은 경로에 키값을 생성하며 시스템 부팅시 웜이 자동실행되도록 합니다 .

- [HKEY_LOCAL_MACHINE\\Software\\Microsoft
\\Windows\\CurrentVersion\\Run]

"lsass" = C:\\Windows\\System32 \\lsasrv.exe"

- [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon]

"Shell" = "explorer.exe C:\\Windows\\System32 \\lsasrv.exe"

1. C:\\WINDOWS\\system32\\drivers\\etc\\hosts 의 hosts 파일에 바이러스백신관련 도메인을 가지는 사이트의 접속을 막기위해 아래의 리스트에 있는 내용을 추가합니다 .

- 127.0.0.1 trendmicro.com
- 127.0.0.1 symantec.com
- 127.0.0.1 www.symantec.com
- 127.0.0.1 securityresponse.symantec.com
- 127.0.0.1 www.sophos.com  등


2) 바이러스백신프로그램등 보안과 관련된 프로세스를 종료시킵니다 .

bbeagle.exe
Penis32.exe
teekids.exe
MSBLAST.exe
mscvb32.exe
sysinfo.exe

PandaAVEngine.exe
taskmon.exe
wincfg32.exe
outpost.exe
zonealarm.exe
navapw32.exe

navw32.exe
zapro.exe
msblast.exe
netstat.exe
i11r54n4.exe
irun4.exe


1) 웜은 감염컴퓨터에서 아래리스트에 있는 확장자를 가진 파일에서 검색하여 이메일주소를 수집합니다 .

.asp
.asm
.adb
.asa
.asc

.cgi
.csp 
.con
.dbx
.dlt

.dwt
.edm
.htc
.htm 
.hta 

.inc
.jsp
.jst
.lbi
.php


1) 자신의 SMTP 엔진을 이용하여 아래와 같은 메일을 발송합니다 .

[제목]: 아래의 리스트에 있는 내용이 포함된 제목을 가지고 있습니다 .

Attention!!!
Do not reply to this email
Error 

Good day
hello
Mail Delivery System 

Mail Transaction Failed
Server Report
Status

* [첨부파일]: 아래리스트에 있는 내용이 포함된 파일명을 가지며 .zip, .bat, .cmd , .exe, .scr, .pif 인 확장자를 가진 첨부파일을 발송합니다 .

body
message
docs

data
file
rules

doc
readme
document

 

치료방법

[수동치료방법]

1. 시작 > 실행에서

2. regedit를 입력하고 확인을 눌러 레지스트리 편집기를 실행합니다.

3. 아래의 경로로 가서 의심되는 키값을 삭제합니다.

- [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft
\\Windows\\CurrentVersion\\Run]
"lsass" = C:\\Windows\\System32 \\lsasrv.exe"

- [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon] "Shell" = "explorer.exe
C:\\Windows\\System32 \\lsasrv.exe"

4. 레지스트리를 종료합니다.

 



(주)서진네트웍스
경기도 성남시 중원구 둔촌대로 545 한라시그마밸리 8층 | 사업자번호 547-86-00032 | 대표이사:김성진
고객지원 1588-2713 | 팩스 031-786-6765~6 | 이메일 seojin@sjnetwork.co.kr, unicorn@eunicorn.co.kr
Copyright © www.sjnetwork.co.kr All rights reserved.