- 바이러스 정보
- 터보백신에서 분석한 바이러스 위협 정보, 보안 통계를 확인할 수 있습니다.
- 이름
- W32/Mimail.13856@mm
- 바이러스 종류
- Worm
- 실행환경
- Windows
- 증상요약
- null
- 위험등급
- null
- 확산방법
- null
- 치료방법
- 터보백신Ai, 터보백신 Online, 터보백신 2001 제품군으로 치료가능.
터보백신 Ai를 사용하시고 아웃룩을 사용하신 다면 반드시 이메일 감시기를
실행하시기 바랍니다.
- ※ 상세 설명
- 이 웜은 이메일을 통하여 전파되며, 미국의 결재 대행 서비스 회사인 paypal로 위장하고 있다.
W32/Mimail.12832.B@mm의 변종으로 웜을 포함한 이메일은 아래와 같은 본문 내용을 가지고 있다.
보낸사람 PayPal.com[Do_Not_Reply@paypal.com]
Dear PayPal member,
We regret to inform you that your account is about to be expired in next five business days.
To avoid suspension of your account you have to reactivate it by providing us with your personal information.
To update your personal profile and continue using PayPal services you have to run the attached application to this email.
Just run it and follow the instructions.
IMPORTANT! If you ignore this alert, your account will be suspended in next five business days and you will not be able to use
PayPal anymore.
Thank you for using PayPal.
임의의 문자열
해당 파일이 실행 되면 윈도우 폴더(win9x, XP: c:\windows, win2000: c:\winnt)에
svchost32.exe 와 ee98af.tmp, el388.tmp(웜이 추출한 메일주소 저장)를 생성한다.
또한 C: 에 다음의 파일을 생성한다.
pp.gif (PayPal 그림파일)->수동으로 삭제
pp.hta (PayPal 카드번호 입력창)->수동으로 삭제
index2.hta (개인정보입력창)->수동으로 삭제
위의 정보는 c:의 ppinfo.sys 파일에 저장되어 외부로 유출 된다.
그런 다음 다음처럼 레지스트를 수정하여 다음 부팅시 실행되도록 조작한다.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
항목에
(win9x, Xp의 경우)
SvcHost32 = c:\windows\svchost32.exe
(win2000, NT의 경우)
SvcHost32 = c:\winnt\svchost32.exe
- ※ 예방 및 수동 조치 방법
-
- 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
- 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요
