- 바이러스 정보
- 터보백신에서 분석한 바이러스 위협 정보, 보안 통계를 확인할 수 있습니다.
- 이름
- W32/Mytob.49911@mm
- 바이러스 종류
- Worm
- 실행환경
- Windows
- 증상요약
- 이 웜은 이메일을 통하여 전파되며, 특정 싸이트 접속을 방해한다. 그리고 자체 SMTP 엔진을 이용한다.
- 위험등급
- 보통
- 확산방법
- 이메일, 보안 취약성
- 치료방법
- <span class="style4">터보백신 제품군으로 진단/치료 가능합니다.</span><br>
<br>
<br>
마이크로 소프트 MS04-011 보안패치와 MS04-026가 안된 사용자는
다음 링크에서 해당 운영체제에 맞는 보안패치를 받아 설치 해야 한다.
<br>
<a href="http://www.microsoft.com/korea/technet/security/bulletin/MS04-011.asp"><font
color="blue">MS04-011 보안패치 페이지 설명(한글)</a><br><br>
<a href="http://www.microsoft.com/korea/technet/security/bulletin/MS03-039.asp"><font
color="blue">MS03-039 보안패치 페이지 설명(한글)</a></font><br><br>
터보백신 Ai를 사용하시고 아웃룩을 사용하신 다면 반드시 이메일 감시기를
실행하시기 바랍니다.
- ※ 상세 설명
- [메일 제목]
Mail Delivery System
Mail Transaction Failed
Good day
Error
hello
Server Report
Status
[메일 내용]
Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
Here are your banks documents.
[첨부파일]
이름 은 다음 리스트에서 선택 된다.
body
data
doc
document
file
message
readme
test
text
확장자는 다음과 같다.
BAT
CMD
EXE
PIF
SCR
ZIP
[특징]
웜이 실행되면 다음과 같이 윈도우 시스템 폴더(win 2000, NT : c:\Wint\system32, win XP : c:\windows\system32)
에 mcscn.exe 파일을 생성한다.
그리고 c:\ 에 hellmsn.exe, funny_pic.scr, my_photo2005.scr, see_this!!.scr 파일을 생성하기도한다.
또한, 다음처럼 레지스트를 수정하여 다음 부팅시 실행되도록 조작한다.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
항목에
Mcafee Virus Protection = "mcscn.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
항목에
Mcafee Virus Protection = "mcscn.exe"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
항목에
Mcafee Virus Protection = "mcscn.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Ole
항목에
Mcafee Virus Protection = "mcscn.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
항목에
Mcafee Virus Protection = "mcscn.exe"
HKEY_CURRENT_USER\Software\Microsoft\Ole
항목에
Mcafee Virus Protection = "mcscn.exe"
HKEY_CURRENT_USER\System\CurrentControlSet\Control\Lsa
항목에
Mcafee Virus Protection = "mcscn.exe"
를 기록한다.
이메일 주소는 다음 확장자를 가진 파일에서 추출 한다.
ADB
ASP
DBX
HTM
PHP
SHT
TBB
WAB
다음 문자열을 포함한 메일주소로는 감염된 메일을 보내지 않는다.
accoun
admin
anyone
bugs
certific
contact
feste
gold-certs
help
icrosoft
info
listserv
nobody
noone
not
nothing
ntivi
page
postmaster
privacy
rating
root
samples
service
site
soft
somebody
someone
submit
support
the.bat
webmaster
you
your
.edu
.gov
.mil
acketst
arin.
avp
be_loyal:
berkeley
borlan
bsd
example
fido
foo.
fsf.
gnu
google
gov.
iana
ibm.com
icrosof
ietf
inpris
isc.o
isi.e
kernel
linux
math
mit.e
mozilla
mydomai
nodomai
panda
pgp
rfc-ed
ripe.
ruslis
secur
sendmail
sopho
syma
tanford.e
unix
usenet
utgers.ed
마지막으로 Hosts 파일을 수정하여 특정 주소로 접속을 방해 한다.
내용은 다음과 같다.
avp.com
ca.com
customer.symantec.com
dispatch.mcafee.com
download.mcafee.com
f-secure.com
kaspersky.com
liveupdate.symantec.com
liveupdate.symantecliveupdate.com
mast.mcafee.com
mcafee.com
my-etrust.com
nai.com
networkassociates.com
rads.mcafee.com
secure.nai.com
securityresponse.symantec.com
sophos.com
symantec.com
trendmicro.com
update.symantec.com
updates.symantec.com
us.mcafee.com
viruslist.com
viruslist.com
www.avp.com
www.ca.com
www.f-secure.com
www.kaspersky.com
www.mcafee.com
www.microsoft.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.sophos.com
- ※ 예방 및 수동 조치 방법
-
- 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
- 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요
