- 바이러스 정보
- 터보백신에서 분석한 바이러스 위협 정보, 보안 통계를 확인할 수 있습니다.
- 이름
- W32/Netsky.17920@mm
- 바이러스 종류
- Worm
- 실행환경
- Windows
- 증상요약
- null
- 위험등급
- null
- 확산방법
- null
- 치료방법
- 터보백신Ai, 터보백신 Online, 터보백신 2001 제품군으로 치료가능.
터보백신 Ai를 사용하시고 아웃룩을 사용하신 다면 반드시 이메일 감시기를 실행하시기 바랍니다.
- ※ 상세 설명
- 이 웜은 4월 28일 부터 전파되기 시작 하였으며 TCP 25 번 포트의 이상 트레픽을 일으킨다.
<br>
웜을 포함한 이메일은 아래와 같은 내용을 가지고 있다.<br>
<br>
[메일 제목]<br>
<br>
Correction <br>
Criminal <br>
Found <br>
Funny <br>
Hurts <br>
Letter <br>
Money <br>
More samples <br>
Numbers <br>
Only love? <br>
Password <br>
Picture <br>
Pictures <br>
Privacy <br>
Question <br>
Stolen <br>
Text <br>
Wow <br>
Illegal <br>
<br>
[메일 내용] <br>
<br>
현재 까지 알려진 것중 다음에서 선택 된어 진다.<br>
<br>
Are your numbers correct? <br>
Do you have more photos about you? <br>
Do you have more samples? <br>
Do you have no money? <br>
Do you have written the letter? <br>
Does it hurt you? <br>
Hey, are you criminal?<br>
How can I help you? <br>
I''''ve found your creditcard. Check the data! <br>
I''''ve your password. Take it easy! <br>
Please do not sent me your illegal stuff again!!! <br>
Please use the font arial! <br>
Still? <br>
The text you sent to me is not so good! <br>
True love letter? <br>
Why do you show your body? <br>
Wow! Why are you so shy? <br>
Your pictures are good! <br>
<br>
<br><img src="http://www.everyzone.com/info/virus_db/images/Netsky_19720_outlook.jpg" border="0">
<br>
[첨부파일]<br>
<br>
다음에서 선택되어 진다.<br>
<br>
abuses.pif <br>
all_pictures.pif <br>
corrected_doc.pif <br>
document1.pif <br>
hurts.pif <br>
image034.pif <br>
loveletter.pif <br>
my_stolen_document.pif <br>
myabuselist.pif <br>
pin_tel.pif <br>
visa_data.pif <br>
your_bill.pif <br>
your_letter.pif <br>
your_picture.pif <br>
your_text.pif <br>
<br>
(웜이 발송한 메일의 예)<br>
<br>
1. 메일 제목: Stolen<br>
<br>
본문 내용: Do you have asked me?<br>
<br>
첨부파일 이름: my_stolen_document.pif.<br>
<br>
2. 메일 제목: Criminal<br>
<br>
본문 내용: Hey, are you criminal?<br>
<br>
첨부파일 이름: myabuselist.pif.<br>
<br>
[특징] <br>
<br>
웜이 실행 되면 다음과 같이 윈도우 폴더 (win 2000, NT : c:\Wint, win XP : c:\windows)에
CSRSS.exe 파일이 생성된다.<br>
<br>
이 파일과 동일한 이름을 가진 정상 파일은 윈도우 시스템 폴더에 있다.
<br>
또한, 다음처럼 레지스트를 수정하여 다음 부팅시 실행되도록 조작한다.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 항목에
<br>
(win2000, NT의 경우) <br>
BagleAV = c:\winnt\CSRSS.EXE<br>
<br>
(WinXP의 경우) <br>
BagleAV = c:\windows\CSRSS.EXE<br>
<br>
다음으로 .HTM, .HTML,, .TXT, .WAB, .PHP, .MDX, ,MBX, .MSG 확장자를 지닌 파일에서 메일 주소를 수집하여 웜이 첨부된 메일을 발송한다.<br>
- ※ 예방 및 수동 조치 방법
-
- 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
- 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요
