(주)에브리존 :: 바이러스 · 악성코드 없는 세상

보안IT뉴스

보안권고문

보안Tip

보안처방

보안위협DB 찾기

보안위협DB찾기

목록 |

윗글 |

아랫글

W32/Mydoom.31744@mm

바이러스 종류

Worm

실행환경

Windows

발견일

2005년01월16일

제작지

불분명

위험등급

확산방법

바이러스 크기

31744

첨부파일

docs.exe 외 다수

메일제목

Attention!!! 외 다수

증상요약

치료방법

터보백신Ai, 터보백신 Online, 터보백신 2001 제품군으로 치료가능.

터보백신 Ai를 사용하시고 아웃룩을 사용하신 다면 반드시 이메일 감시기를
실행하시기 바랍니다.

상세설명

[증상]

이 웜은 2005년 1월 16일 발견되었으며 국내에는 1월 16일 부터 확산 되기 시작 하였다.
UPX 실행 파일 압축되 있으며, Hosts 파일을 수정하여 특정 보안업체의 접속을 방해 한다.
또한 자체 SMTP를 내장하여 이 메일을 통해 전파된다.

[메일 제목]

Attention!!!
Do not reply to this email
Error
Good day
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status

[첨부파일 이름]

body
message
docs
data
file
rules
doc
readme
document

[확장자]

EXE, ZIP, PIF, SCR, BAT, CMD

[특징]

메일을 통한 감염시 다음 파일에서 메일 주소를 추출 한다.

.adb
.asa
.asc
.asm
.asp
.cgi
.con
.csp
.dbx
.dlt
.dwt
.edm
.hta
.htc
.htm
.inc
.jsp
.jst
.lbi
.php
.rdf
.rss
.sht
.ssi
.stm
.tbb
.tpl
.txt
.vbp
.vbs
.wab
.wml
.xht
.xml
.xsd
.xst

웜이 실행 되면 윈도우 시스템 폴더
(Win9x- c:\windows\system, Win2000, NT - c:\Winnt\system32, win XP - c:\windows\system32)
에 lsasrv.exe, version.ini, hserv.sys 파일를 생성한다.

다음으로 레지스트리를 조작하여 윈도우를 실행 할 경우 먼저 웜을 실행 시키도록 한다.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
항목에

win2000,nt 의 경우 : lsass : c:\winnt\system32\lsasrv.exe
win xp 의 경우 : lsass : c:\windows\system32\lsasrv.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
항목에

win2000,nt 의 경우 : Shell : explorer.exe c:\winnt\system32\lsasrv.exe
win xp 의 경우 : Shell : explorer.exe c:\windows\system32\lsasrv.exe

그리고 다음과 같은 문자열을 가진 프로세스가 실행되면 종료 시킨다.

MSBLAST.exe
PandaAVEngine.exe
Penis32.exe
SysMonXP.exe
bbeagle.exe
d3dupdate.exe
i11r54n4.exe
irun4.exe
msblast.exe
mscvb32.exe
navapw32.exe
navw32.exe
netstat.exe
outpost.exe
rate.exe
ssate.exe
sysinfo.exe
taskmon.exe
teekids.exe
wincfg32.exe
winsys.exe
winupd.exe
zapro.exe
zonealarm.exe

p2p 프로그램을 통해서도 감염된 파일을 전파할 수 있으며, 다음은 p2p 프로그램 이용시

공유 폴더에 웜의 복사본으로 생성되는 파일들이다.

웜의 복사본 확장자는 bat, pif, scr, exe 에서 랜덤하게 적용된다.

porno.scr
NeroBROM6.3.1.27.exe
avpprokey.exe
Ad-awareref01R349.exe
winxp_patch.exe
adultpasswds.exe
dcom_patches.bat
K-LiteCodecPack2.34a.exe
activation_crack.exe
icq2004-final.exe
winamp5.exe

또한 hosts(windows98, me : c:\windows\hosts, windows 2000, NT : c:\winnt\system32\drivers\etc,

windows XP : c:\windows\system32\drivers\etc) 파일을 다음과 같이 조작 하여 웹싸이트의 접속을 방해 한다.

정상적인 hosts 파일은 "127.0.0.1 localhosts" 이다.

127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 www.f-secure.com
127.0.0.1 f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 www.my-etrust.com
127.0.0.1 my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 www.nai.com
127.0.0.1 nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 www.trendmicro.com
127.0.0.1 trendmicro.com
127.0.0.1 www.grisoft.com
127.0.0.1 grisoft.com

그리고 http://nerma(xx)eno.com/com.txt 또는 http://www.ops(xx)ed.com/com.txt

파일을 받아 온다.(xx 제거됨)

예방 및 수동조치방법