바이러스 DB

매일 다수의 업데이트를 실시하고 있으며 긴급 악성코드 발생 시 신속하게 추가 업데이트를 실시하고 있습니다.

이름
W32/Zafi.11745@mm
바이러스 종류
Worm
실행환경
Windows
위험등급
확산방법
증상요약
치료방법
터보백신Ai, 터보백신 Online, 터보백신 2001 제품군으로 치료가능.

터보백신 Ai를 사용하시고 아웃룩을 사용하신 다면 반드시 이메일 감시기를
실행하시기 바랍니다.
상세설명  진단/치료방법
※ 상세 설명
이 웜은 이메일을 통하여 전파되며, 웜을 포함한 이메일은 아래와 같은 제목으로 전파된다.

웜을 포함한 이메일은 아래와 같은 내용을 가지고 있다.

[메일 제목]

Buon Natale!
Christmas - Kartki!
Christmas Atviruka!
Christmas Kort!
Christmas Postkort!
Christmas Vykort!
Christmas pohlednice
Christmas postikorti!
Feliz Navidad!
Joyeux Noel!
Merry Christmas!
Prettige Kerstdagen!
Weihnachten card.
boldog karacsony...
ecard.ru
Re: Merry Christmas!

[메일 내용]

Buon Natale!
Feliz Navidad!
Frohliche Weihnachten!
Glaedelig Jul!
God Jul!
Happy Hollydays!
Iloista Joulua!
Joyeux Noel!
Kellemes Unnepeket!
Naulieji Metai!
Prettige Kerstdagen!
Vesel noce!
Vesele Vanoce!
Wesolych Swiat!
hliche Weihnachten!

위의 내용에

:) 보낸이

가 추가 된다.

예) "보낸이" 가 OS 인경우

Happy Hollydays!
:) OS
[첨부파일]

첨부파일은 다음과 같은 단어의 조합으로 이루어지며 파일명 끝에는 4자리의 숫자가 랜덤하게 적용된다.

atviruka
cartoline
ecarte
ekort
htm
index
gif
karacsony
kartki
kerstdagen
link
jpg
navidad
pohlednice
postcard
postikorti
postkort
php
vykort
weihnachten
christmas

예) link.postcard.christmas.php0702.zip

(웜이 발송한 메일의 예)




[특징]

첨부파일은 bat 또는 zip, pif 형태 이며, 자체 SMTP 엔진을 이용하여
감염된 메일을 전송한다.

첨부파일이 실행되면 윈도우의 시스템 폴더(win 2000, NT : c:\Winnt\system32, win XP : c:\windows\system32, win 95/98/me : c:\windows\system)에
Norton Update.exe(11,745 byte), (랜덤 파일).dll 파일을 생성 하고, 윈도우 폴더(win2000, NT: c:\winnt, win95/98/me : c:\windows)에 s.cm 파일을 생성한다.

또한, 다음처럼 레지스트를 수정하여 다음 부팅시 실행되도록 조작한다.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 항목에
(win9x의 경우)
WinSPF = c:\windows\system\Norton Update.exe

(win2000, NT의 경우)
WinSPF = c:\winnt\system32\Norton Update.exe

(WinXP의 경우)
WinSPF = c:\windows\system32\Norton Update.exe

를 기록한다.
다음으로 .HTM, .HTML,, .TXT, .WAB, cgi, asp, VBS, php, msg, mht, jsp, dbx, cfg, txt 확장자를 지닌 파일에서 메일 주소를 수집하여 웜이 첨부된 메일을 발송하지만 다음 문자열이 들어간 메일로는 감염된 메일이 발송되지 않는다.
yaho
google
win
use
info
help
admi
webm
micro
msn
hotm
suppor
syman
viru
trend
secur
panda
cafee
sopho
kasper

또한 일부 공유폴더에 winamp 5.7 new!.exe , ICQ 2005a new!.exe 의 이름으로 웜의 복사본을 생성하며, TCP/8181 포트를 오픈해 둔다.

마지막으로 이 웜은 다음과 같은 확장자의 파일에서 메일 주소를 수집한다.
htm
wab
txt
dbx
tbb
asp
php
sht
adb
mbx
eml
pmr
fpt
inb

그러나 일부 한글로 메일주소를 리다이렉팅 했을 경우 한글이 제대로 표기되지 않는다.
※ 예방 및 수동 조치 방법
  • 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
  • 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요
상호 :(주)에브리존 터보백신 | 대표:홍승균|사업자등록번호:220-81-67981
Copyright ⓒEveryzone , Inc. All Rights Reserved.|