바이러스 종류
이메일로 전파되며 2006년 1월 6일에 특정 싸이트에서 파일을 내려받도록 구성되어 있다.
상세설명  진단/치료방법
※ 상세 설명
웜을 포함한 이메일은 아래와 같은 제목과 본문 첨부파일로 구성되어 전파된다. [메일 제목] (독일어) Account Information Ihr Passwort Mailzustellung wurde unterbrochen SMTP Mail gescheitert Ermittlungsverfahren wurde eingeleitet Sie besitzen Raubkopien RTL: Wer wird Millionaer Sehr geehrter Ebay-Kunde. (영어) Registration Confirmation Mail delivery failed hi, ive a new mail address Paris Hilton & Nicole Richie smtp mail failed Your Password [메일 내용] (독일어) Ihre Nutzungsdaten wurden erfolgreich geaendert. Details entnehmen Sie bitte dem Anhang. *** http://www.(도메인 네임) *** E-Mail: PassAdmin@(도메인 네임) ====================================================================== Sehr geehrte Dame, sehr geehrter Herr, das Herunterladen von Filmen, Software und MP3s ist illegal und somit strafbar. Wir moechten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unt er der IP erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel sichergestellt und es wird ein Ermit Die Strafanzeige und die Moeglichkeit zur Stellungnahme wird Ihnen in den naechsten Tagen schriftlic Aktenzeichen NR.:# (siehe Anhang) Hochachtungsvoll i.A. Juergen Stock --- Bundeskriminalamt BKA --- Referat LS 2 --- 65173 Wiesbaden --- Tel.: +49 (0)611 - 55 - 12331 oder --- Tel.: +49 (0)611 - 55 - 0 (영어) hey its me, my old address dont work at time. i dont know why?! in the last days ive got some mails. i'' think thaz your mails but im not sure! plz read and check ... cyaaaaaaa ====================================================================== Dear Sir/Madam, we have logged your IP-address on more than 30 illegal Websites. Important: Please answer our questions! The list of questions are attached. Yours faithfully, Steven Allison ++++ Central Intelligence Agency -CIA- ++++ Office of Public Affairs ++++ Washington, D.C. 20505 ++++ phone: (703) 482-0623 ++++ 7:00 a.m. to 5:00 p.m., US Eastern time ====================================================================== Dear Sir/Madam, we have logged your IP-address on more than 30 illegal Websites. Important: Please answer our questions! The list of questions are attached. Yours faithfully, Steven Allison *** Federal Bureau of Investigation -FBI- *** 935 Pennsylvania Avenue, NW, Room 3220 *** Washington, DC 20535 *** phone: (202) 324-3000 [첨부파일] 첨부파일의 확장자는 zip로 이루어져 있다. Ebay.zip Ebay-User_RegC.zip Email.zip Email_text.zip list.zip question_list.zip mail.zip mailtext.zip mail_body.zip reg_pass.zip reg_pass-data.zip (랜덤파일).zip (랜덤파일)_Text.zip (랜덤파일)_Textinfo.zip [특징] 웜이 실행되면 "Error in packed Header" 에러 메시지 박스를 내고, 다음과 같이 윈도우 폴더(win 2000, NT : c:\Wint, win XP, 9x : c:\windows)에 "WinSecurity" 폴더를 생성 하여, csrss.exe(55,390 byte), services.exe(55,390 byte), smss.exe(55,390 byte), socket1.ifo(75,996 byte), socket2.ifo(75,996 byte), socket3.ifo(75,996 byte), bbvmwxxf.hml(0byte), filesms.fms(0byte),langeinf.lin(0byte), nonrunso.ber(0byte), rubezahl.rub(0byte), runstop.rst(0byte), mssock1.dli, mssock2.dli,mssock3.dli 를 생성한다. 또한, 다음처럼 레지스트를 수정하여 다음 부팅시 실행되도록 조작한다. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 항목에 (win9x, XP의 경우) _Windows = c:\windows\WinSecurity\services.exe (win2000, NT의 경우) _Windows = c:\winnt\WinSecurity\services.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 항목에 (win9x, XP의 경우) _Windows = c:\windows\WinSecurity\services.exe (win2000, NT의 경우) _Windows = c:\winnt\WinSecurity\services.exe 를 기록한다. 그리고 메일주소는 다음 확장자를 가진 파일에서 수집하여 자체 SMTP 를 이용한다. ABC ABD ABX ADB ADE ADP ADR ASP BAK BAS CFG CGI CLS CMS CSV CTL DBX DHTM DOC DSP DSW EML FDB FRM HLP IMB IMH IMM INBOX INI JSP LDB LDIF LOG MBX MDA MDB MDE MDW MDX MHT MMF MSG NAB NCH NFO NSF NWS ODS OFT PHP PHTM PL PMR PP PPT PST RTF SHTML SLK SLN STM TBB TXT UIN VAP VBS VCF WAB WSH XHTML XLS XML 또한 다음 주소로 접속을 시도한다. ntps1-1.uni-erlangen.de time.mit.edu tick.greyware.com tock.keso.fi ntp2c.mcc.ac.uk ntp1.theremailer.net time.chu.nrc.ca time-a.timefreq.bldrdoc.gov time.nrc.ca ntp.massayonet.com.br ntp2b.mcc.ac.uk ntp2.ien.it nist1.datum.com swisstime.ethz.ch clock.psu.edu time.ien.it ptbtime2.ptb.de Rolex.PeachNet.edu ntp.metas.ch ntp3.fau.de utcnist.colorado.edu sundial.columbia.edu vega.cbk.poznan.pl ntp0.cornell.edu ntp-sop.inria.fr rolex.usg.edu time.xmission.com st.ntp.carnet.hr ntp-1.ece.cmu.edu time.nist.gov ntp.lth.se cuckoo.nevada.edu ntp-2.ece.cmu.edu time.kfki.hu ntp.pads.ufrj.br time-ext.missouri.edu ntp1.arnes.si timelord.uregina.ca gandalf.theunixman.com 2006년 1월 6일에 감염된 컴퓨터는 다음 URL 에서 웜 파일을 내려 받을수 있지만 현재 모두 페이지가 삭제된 상태다. people.freenet.de/mclvompycem/cen.vcn scifi.pages.at/zzzvmkituktgr/etie.exe people.freenet.de/fseqepagqfphv/sfd.exe people.freenet.de/wjpropqmlpohj/loq.exe home.arcor.de/jmqnqgijmng/oja.exe people.freenet.de/qisezhin/iqor.ymv home.arcor.de/ocllceclbhs/gth.exe home.arcor.de/srvziadzvzr/saei.vvt home.pages.at/npgwtjgxwthx/byb.xky home.arcor.de/dixqshv/qzccs.exe home.arcor.de/nhirmvtg/ggqh.kqh people.freenet.de/urfiqileuq/tjzu.exe people.freenet.de/smtmeihf/hiuxz.exe free.pages.at/emcndvwoemn/lvv.jde people.freenet.de/zmnjgmomgbdz/zzmw.gzt 또한 Microsoft Windows Malicious Software Removal Tool 프로그램인 mrt.exe 프로세스가 떠있다면 강제로 종료 시킨다.
※ 예방 및 수동 조치 방법
