이름

W32/Mydoom.18200@mm

바이러스 종류

Worm

실행환경

Windows

증상요약

null

위험등급

null

확산방법

null

치료방법

터보백신Ai, 터보백신 Online, 터보백신 2001 제품군으로 치료가능. 터보백신 Ai를 사용하시고 아웃룩을 사용하신 다면 반드시 이메일 감시기를 실행하시기 바랍니다.  

※ 상세 설명

이 웜은 이메일을 통하여 전파되며, 웜을 포함한 이메일은 아래와 같은 제목으로 전파된다.<br> (웜이 발송한 메일의 예)<br> <br> <br><img src="http://www.everyzone.com/info/virus_db/images/Wesco_outlook.jpg" border="0"> <br> <br> <br> 웜을 포함한 이메일은 아래와 같은 내용을 가지고 있다.<br> <br> [메일 제목] <br> <br> Hi! <br> Information <br> News <br> Notice again <br> Private document <br> Re: Hello <br> Re: Hi <br> Re: Message<br> Re: Proof of concept <br> Re: Question <br> Re: Status <br> Re: Your document <br> Thank you! <br> You win! <br> hello <br> here <br> important<br> read it immediately <br> thanks! <br> <br> [메일 내용] <br> <br> 내용 없음<br> Can you confirm it? <br> For more details see the attachment. <br> I have attached document. <br> Monthly news report. <br> New game <br> Please answer quickly! <br> Please confirm the document. <br> Please read the attached file. <br> Please read the important document.<br> Please see the attached file for details <br> See attached file for details. <br> See the file. <br> Thank you! <br> Thanks! <br> Virus removal tool <br> You are infected by virus. Run this exe <br> You win! <br> Your archive is attached. <br> Your requested mail has been attached. <br> apply patch. <br> apply this patch!<br> fun game! <br> fun photos <br> fun! <br> game <br> lol! <br> relax <br> screensaverlol! <br> thanks! <br> read it immediately <br> <br> 본문의 끝엔 다음과 같은 내용이 첨가 된다.<br> <br> +++ Attachment: No Virus found <br> <br> 그리고 다음의 내용이 랜덤하게 첨가 된다.<br> <br> +++ MessageLabs AntiVirus - www.messagelabs.com <br> +++ Bitdefender AntiVirus - www.bitdefender.com <br> +++ Norton AntiVirus - www.symantec.de <br> +++ F-Secure AntiVirus - www.f-secure.com <br> +++ Norman AntiVirus - www.norman.com <br> +++ Panda AntiVirus - www.pandasoftware.com <br> +++ Kaspersky AntiVirus - www.kaspersky.com <br> +++ MC-Afee AntiVirus - www.mcafee.com <br> <br> [첨부파일]<br> <br> antivirus.exe <br> bill.zip <br> data.zip <br> details.zip <br> doc.zip <br> file.exe <br> file.zip <br> fun.scr <br> game.exe <br> info.zip <br> information.zip <br> letter.zip <br> lol.scr <br> message.zip <br> new.exe <br> new.zip <br> patch.exe <br> photo.exe <br> pic.exe <br> report.zip <br> document.zip <br> <br> [특징]<br> <br> 첨부파일은 exe 또는 zip, scr 형태 이며, 자체 SMTP 엔진을 이용하여 감염된 메일을 전송한다. <br> 첨부파일이 실행되면 위도우의 시스템 폴더(win 2000, NT : c:\Winnt\system32, win XP : c:\windows\system32, win 95/98/me : c:\windows\system)에 winspf32.exe(18,200 byte) 파일을 생성한다.<br> 또한, 다음처럼 레지스트를 수정하여 다음 부팅시 실행되도록 조작한다. <br> HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 항목에 <br> (win9x의 경우) <br> WinSPF = c:\windows\system\winspf32.exe <br> <br> (win2000, NT의 경우) <br> WinSPF = c:\winnt\system32\winspf32.exe <br> <br> (WinXP의 경우) <br> WinSPF = c:\windows\system32\winspf32.exe <br> <br> 를 기록한다. <br> 다음으로 .HTM, .HTML,, .TXT, .WAB, cgi, asp, VBS, php, msg, mht, jsp, dbx, cfg, txt 확장자를 지닌 파일에서 메일 주소를 수집하여 웜이 첨부된 메일을 발송하지만 다음 문자열이 들어간 메일로는 감염된 메일이 발송되지 않는다.<br> <br> .gov <br> .mil <br> @foo. <br> @iana <br> abuse <br> accoun <br> acketst <br> admin <br> antivi <br> anyone <br> arin. <br> avp. <br> berkeley <br> borlan <br> bsd <br> certific<br> contact <br> example <br> feste <br> fido <br> fsf. <br> gnu <br> gold-certs <br> google <br> gov. <br> help <br> iana <br> ibm.com <br> icq.com <br> icrosof <br> icrosoft <br> ietf <br> info <br> inpris <br> isc.o <br> isi.e <br> kasp <br> kernel <br> linux <br> listserv <br> math <br> messagelabs <br> mit.e <br> mozilla <br> mydomai <br> news <br> nobody <br> nodomai <br> noone <br> noreply <br> nothing <br> ntivi <br> panda <br> pgp <br> postmaster <br> privacy <br> rating <br> rfc-ed <br> ripe. <br> root <br> ruslis <br> samples <br> secur <br> sendmail <br> service <br> site <br> somebody <br> someone <br> sopho <br> spam <br> submit <br> support <br> syman <br> tanford<br> unix <br> upport <br> usenet <br> utgers.ed <br> webmaster<br> www <br> <br> 또한 일부 웹주소로 부터 특정 파일을 다운로드 받는 기능도 포함되 있다. <br> 마지막으로 시스템 날짜가 9월 19일 이후가 되면 자기 자신을 삭제 하게 된다. <br>

※ 예방 및 수동 조치 방법

• 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
• 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요