에브리존소개 | 제품소개 | 고객센터 | 사이트맵 | Home
개인고객 여성고객 e보안마켓 이벤트
개인고객기업고객
보안접속 ID저장
AD 무료로 책받아가세요!


 목록 |  윗글 |  아랫글  
W32/Netsky.22016@mm
 바이러스 종류
Worm
 실행환경
Windows
 발견일
2004년02월17일
 제작지
불분명
 위험등급
 확산방법
 바이러스 크기
22,016 bytes
 첨부파일
(임의의문자열).zip(22,144 bytes) 외 다수
 메일제목
  read it immediately 외 다수
 증상요약
  
 치료방법

터보백신Ai, 터보백신 Online, 터보백신 2001 제품군으로 치료가능.

터보백신 Ai를 사용하시고 아웃룩을 사용하신 다면 반드시 이메일 감시기를
실행하시기 바랍니다.


  
 
상세설명
이 웜은 이메일을 통하여 2월 18일 부터 전파되었으며 국내에는
2월 19일 오전 부터 전파되기 시작한 것으로 추정된다.
웜을 포함한 이메일은 아래와 같은 내용을 가지고 있다.

[메일 제목]

hi
hello
read it immediately
information
stolen
fake
something for you
warning
unknown


[메일 내용]

현재 까지 알려진 것중 다음에서 선택 된다.
I have your password!
about me
anything ok?
do you?
fake
from the chatter
greetings
hello
here
here is the document.
here it is
here, the cheats
here, the introduction
here, the serials
hi
i found this document about you
i hope it is not true!
i wait for a reply!
i''''''''''''''''m waiting
information
information about you
is that from you?
is that true?
is that your account?
is that your name?
kill the writer of this document!
misc
my hero
ok
read it immediately!
read the details.
reply
see you
something about you!
something is fool
something is going wrong
something is going wrong!
stuff about you?
take it easy
that is bad
that''''''''''''''''s funny
thats wrong
what does it mean?
yes, really?
you are a bad writer
you are bad
you earn money
you feel the same
you try to steal
your name is wrong

[첨부파일]

다음중에서 선택 되어 진다. 확장자가 zip 외에 scr, pif, exe 등이 붙을
수 있다.

aboutyou
attachment
bill
concert
creditcard
details
dinner
disco
doc
document
final
found
friend
information
jokes
location
mail2
mails
me
message
msg
nomoney
note
object
part2
party
posting
product
ps
ranking
release
shower
story
stuff
swimmingpool
talk
textfile
topseller
website
misc






(웜이 발송한 메일의 예)

1. 메일 제목 : read it immediately

본문 내용 here

첨부파일 이름: ranking.zip


2. 메일 제목 : read it immediately

본문 내용 : here it is

첨부파일 이름 : release.zip


[특징]

첨부파일은 release.zip(22,144 bytes) 외 다수 이며, 압축을 해제 하면 마
이크로 소프트 워드 아이콘을 하고 있다.




처음 실행시에 다음과 같이 윈도우 시스템 폴더(win 2000, NT : c:\Wint\system32, win XP : c:\windows\system32)
에 있는 services.exe 파일 이름과 똑같은 이름으로 윈도우 폴더 (win 2000, NT : c:\Wint, win XP : c:\windows)에 생성되어 마치 정상 프로그램 인 것 처럼 속인다.

또한, 다음처럼 레지스트를 수정하여 다음 부팅시 실행되도록 조작한다.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 항목에

(win2000, NT의 경우) service = c:\winnt\services.exe -serv

(WinXP의 경우) service = c:\windows\services.exe -serv


다음으로 .HTM, .HTML,, .TXT, .WAB 확장자를 지닌 파일에서 메일 주소를 수집하여 웜이 첨부된 메일을 발송한다

마지막으로 레지스트리에 Mydoom 웜 변종이 생성한 값과 몇가지 레지스트리 값이 삭제 된다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 항목에
Taskmon
Explorer

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 항목에
Taskmon
Explorer
KasperskyAv
system

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
항목에
system
 
예방 및 수동조치방법
무단전재ㆍ배포금지
에브리존에서 제공하는 모든 컨텐츠 정보에 대한 저작권은 에브리존의 소유이며 관련법의 보호를 받습니다.
에브리존의 사전 허가 없이 에브리존 컨텐츠를 무단으로 전재, 배포를 금지되어 있습니다.
이를 위반하는 경우 손해배상의 대상 또는 민.형사상의 법적 소송 대상이 될 수 있습니다.
                                                                 * 에브리존 정보 이용 문의 : greenking@everyzone.com
 목록