이름

W32/Netsky.18432.C@mm

바이러스 종류

Worm

실행환경

Windows

증상요약

null

위험등급

null

확산방법

null

치료방법

터보백신Ai, 터보백신 Online, 터보백신 2001 제품군으로 치료가능. *터보백신 Ai를 사용하시고 아웃룩을 사용하신 다면 반드시 이메일 감시기를 실행하시기 바랍니다.  

※ 상세 설명

이 웜은 W32/Netsky.18432의 변종으로 이메일을 통하여 4월 6일 부터 전파되기 시작 했다.<br> 첨부파일의 아이콘 모양은 도스용 프로그램 아이콘으로 되어 있다.<br> <br> <br><img src="http://www.everyzone.com/info/virus_db/images/Netsky_T_Icon.jpg" border="0"> <br> 웜을 포함한 이메일은 아래와 같은 내용을 가지고 있다.<br> <br> [메일 제목]<br> <br> Approved <br> Hello <br> Hello! <br> Important <br> My details <br> Re: Approved <br> Re: Hello <br> Re: Hi <br> Re: Important <br> Re: My details <br> Re: Request <br> Re: Thanks you! <br> Re: Your details <br> Re: Your document <br> Re: Your information <br> Request <br> Sample<br> Thank you!<br> Your details <br> Your document <br> Your information <br> <br> [메일 내용] <br> <br> 현재 까지 알려진 것중 다음에서 선택 된어 지며 크게 세부분으로 구성되어 있다.<br> <br> * 본문의 첫부분<br> Hello! <br> Hi! <br> <br> * 본문의 두번째 부분<br> Approved, here is the document. <br> For more details see the attached document. <br> For more information see the attached document. <br> Here is the <랜덤한 문자열>. <br> Here is the document. <br> I have found the <랜덤한 문자열>. <br> I have sent the <랜덤한 문자열>. <br> I have spent much time for the <랜덤한 문자열>. <br> I have spent much time for your document. <br> It can also include the following: <br> My <랜덤한 문자열> is attached. <br> My <랜덤한 문자열>. <br> Note that I have attached your document. <br> Please have a look at the <랜덤한 문자열>. <br> Please have a look at the attached document. <br> Please notice the attached <랜덤한 문자열>. <br> Please notice the attached document. <br> Please read quickly. <br> Please read the <랜덤한 문자열>. <br> Please read the attached document. <br> Please see the <랜덤한 문자열>. <br> Please, <랜덤한 문자열>. <br> See the document for details.<br> The <랜덤한 문자열> is attached. <br> The <랜덤한 문자열>. <br> The requested <랜덤한 문자열> is attached! <br> Your <랜덤한 문자열> is attached. <br> Your <랜덤한 문자열>. <br> Your file is attached to this mail. <br> <br> * 본문의 세번째 부분<br> <br> Thank you <br> Thanks <br> Yours sincerely <br> <br> <br> <br><img src="http://www.everyzone.com/info/virus_db/images/Netsky_T_outlook.jpg" border="0"> <br> [첨부파일]<br> <br> <랜덤 문자열><랜덤한 숫자>.PIF<br> <br> (예)<br> Sample8.pif (18.5K)<br> <br> 랜덤한 문자열은 다음에서 선택되어 진다.<br> <br> abuse list <br> account <br> answer <br> approved document <br> approved file <br> archive <br> concept <br> contact list<br> corrected document <br> description <br> detailed document <br> details <br> developement<br> diggest <br> document <br> e-mail <br> excel document <br> final version <br> homepage <br> icq number <br> important document <br> improved document <br> improved file <br> information <br> instructions <br> letter <br> message <br> movie document <br> new document <br> notice <br> number list<br> old document <br> order <br> personal message <br> phone number <br> photo document <br> picture document <br> postcard <br> powerpoint document <br> presentation document <br> release <br> report <br> requested document <br> sample <br> secound document <br> story <br> summary <br> textfile <br> user list <br> word document<br> <br> (웜이 발송한 메일의 예)<br> <br> 1. 메일 제목: Request<br> <br> 본문 내용<br> <br> Hi!<br> Please, excel document.<br> <br> 첨부파일 이름: excel_document8.pif<br> <br> 2. 메일 제목: Your information <br> <br> 본문 내용<br> <br> Hello!<br> Please read quickly.<br> <br> 첨부파일 이름: description4.pif<br> <br> 3. 메일 제목: Re: Postcard <br> <br> 본문 내용<br> <br> Hello!<br> Please have a look at the postcard.<br> Thank you<br> 첨부파일 이름: postcard5.pif<br> [특징] <br> <br> 첨부파일은 특정 문자열과 숫자로 구성되어 있으며 pif확장자를 가진 파일로 전파된다.<br> <br> 처음 실행시에 다음과 같이 윈도우 폴더 (win 2000, NT : c:\Wint, win XP : c:\windows)에 EasyAv.exe, UINMZERTINMDS.OPM 파일이 생성된다.<br> <br> 또한, 다음처럼 레지스트를 수정하여 다음 부팅시 실행되도록 조작한다. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 항목에 <br> (win2000, NT의 경우) <br> EasyAV = c:\winnt\EasyAV.EXE<br> <br> (WinXP의 경우) <br> EasyAV = c:\windows\EasyAV.EXE<br> <br> 다음으로 .HTM, .HTML,, .TXT, .WAB, .PHP, .MDX, ,MBX, .MSG 확장자를 지닌 파일에서 메일 주소를 수집하여 웜이 첨부된 메일을 발송한다<br> <br> 그리고 2004년 4월 14일 부터 23일 사이에 다음 싸이트에 DoS 공격을 할 수 있게 코딩되 있다.<br> <br> www.cracks.am <br> www.emule.de <br> www.freemule.net <br> www.kazaa.com <br> www.keygen.us <br> <br> 또한 레지스트리에 Mydoom, Mimail, Bagle, 등이 생성한 값과 몇가지 레지스트리 값이 삭제 된다.<br> <br> 마지막으로 TCP 6789 포트를 열어 두어 개인정보 유출의 위험을 가지고 있다.<br>

※ 예방 및 수동 조치 방법

• 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
• 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요