- 바이러스 정보
- 터보백신에서 분석한 바이러스 위협 정보, 보안 통계를 확인할 수 있습니다.
- 이름
- W32/Mydoom.31744@mm
- 바이러스 종류
- Worm
- 실행환경
- Windows
- 증상요약
- null
- 위험등급
- null
- 확산방법
- null
- 치료방법
- 터보백신Ai, 터보백신 Online, 터보백신 2001 제품군으로 치료가능.
터보백신 Ai를 사용하시고 아웃룩을 사용하신 다면 반드시 이메일 감시기를
실행하시기 바랍니다.
- ※ 상세 설명
- [증상]
이 웜은 2005년 1월 16일 발견되었으며 국내에는 1월 16일 부터 확산 되기 시작 하였다.
UPX 실행 파일 압축되 있으며, Hosts 파일을 수정하여 특정 보안업체의 접속을 방해 한다.
또한 자체 SMTP를 내장하여 이 메일을 통해 전파된다.
[메일 제목]
Attention!!!
Do not reply to this email
Error
Good day
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
[첨부파일 이름]
body
message
docs
data
file
rules
doc
readme
document
[확장자]
EXE, ZIP, PIF, SCR, BAT, CMD
[특징]
메일을 통한 감염시 다음 파일에서 메일 주소를 추출 한다.
.adb
.asa
.asc
.asm
.asp
.cgi
.con
.csp
.dbx
.dlt
.dwt
.edm
.hta
.htc
.htm
.inc
.jsp
.jst
.lbi
.php
.rdf
.rss
.sht
.ssi
.stm
.tbb
.tpl
.txt
.vbp
.vbs
.wab
.wml
.xht
.xml
.xsd
.xst
웜이 실행 되면 윈도우 시스템 폴더
(Win9x- c:\windows\system, Win2000, NT - c:\Winnt\system32, win XP - c:\windows\system32)
에 lsasrv.exe, version.ini, hserv.sys 파일를 생성한다.
다음으로 레지스트리를 조작하여 윈도우를 실행 할 경우 먼저 웜을 실행 시키도록 한다.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
항목에
win2000,nt 의 경우 : lsass : c:\winnt\system32\lsasrv.exe
win xp 의 경우 : lsass : c:\windows\system32\lsasrv.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
항목에
win2000,nt 의 경우 : Shell : explorer.exe c:\winnt\system32\lsasrv.exe
win xp 의 경우 : Shell : explorer.exe c:\windows\system32\lsasrv.exe
그리고 다음과 같은 문자열을 가진 프로세스가 실행되면 종료 시킨다.
MSBLAST.exe
PandaAVEngine.exe
Penis32.exe
SysMonXP.exe
bbeagle.exe
d3dupdate.exe
i11r54n4.exe
irun4.exe
msblast.exe
mscvb32.exe
navapw32.exe
navw32.exe
netstat.exe
outpost.exe
rate.exe
ssate.exe
sysinfo.exe
taskmon.exe
teekids.exe
wincfg32.exe
winsys.exe
winupd.exe
zapro.exe
zonealarm.exe
p2p 프로그램을 통해서도 감염된 파일을 전파할 수 있으며, 다음은 p2p 프로그램 이용시
공유 폴더에 웜의 복사본으로 생성되는 파일들이다.
웜의 복사본 확장자는 bat, pif, scr, exe 에서 랜덤하게 적용된다.
porno.scr
NeroBROM6.3.1.27.exe
avpprokey.exe
Ad-awareref01R349.exe
winxp_patch.exe
adultpasswds.exe
dcom_patches.bat
K-LiteCodecPack2.34a.exe
activation_crack.exe
icq2004-final.exe
winamp5.exe
또한 hosts(windows98, me : c:\windows\hosts, windows 2000, NT : c:\winnt\system32\drivers\etc,
windows XP : c:\windows\system32\drivers\etc) 파일을 다음과 같이 조작 하여 웹싸이트의 접속을 방해 한다.
정상적인 hosts 파일은 "127.0.0.1 localhosts" 이다.
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 www.f-secure.com
127.0.0.1 f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 www.my-etrust.com
127.0.0.1 my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 www.nai.com
127.0.0.1 nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 www.trendmicro.com
127.0.0.1 trendmicro.com
127.0.0.1 www.grisoft.com
127.0.0.1 grisoft.com
그리고 http://nerma(xx)eno.com/com.txt 또는 http://www.ops(xx)ed.com/com.txt
파일을 받아 온다.(xx 제거됨)
- ※ 예방 및 수동 조치 방법
-
- 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
- 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요
