2024 정부지원사업 랜섬웨어 대응/예방 정부 지원 사업 -
도입 기회를 놓치지 마세요!!
자세히 보기
- 바이러스 정보
- 터보백신에서 분석한 바이러스 위협 정보, 보안 통계를 확인할 수 있습니다.
- 이름
- W32/Sober.55390@mm
- 바이러스 종류
- Worm
- 실행환경
- Windows
- 증상요약
- 이메일로 전파되며 2006년 1월 6일에 특정 싸이트에서 파일을 내려받도록 구성되어 있다.
- 위험등급
- 위험
- 확산방법
- 이메일
- 치료방법
- <span class="style4">터보백신 제품군으로 진단/치료 가능합니다.</span><br>
<br>
- ※ 상세 설명
- 웜을 포함한 이메일은 아래와 같은 제목과 본문 첨부파일로 구성되어 전파된다.
[메일 제목]
(독일어)
Account Information
Ihr Passwort
Mailzustellung wurde unterbrochen
SMTP Mail gescheitert
Ermittlungsverfahren wurde eingeleitet
Sie besitzen Raubkopien
RTL: Wer wird Millionaer
Sehr geehrter Ebay-Kunde.
(영어)
Registration Confirmation
Mail delivery failed
hi, ive a new mail address
Paris Hilton & Nicole Richie
smtp mail failed
Your Password
[메일 내용]
(독일어)
Ihre Nutzungsdaten wurden erfolgreich geaendert. Details entnehmen Sie bitte dem Anhang.
*** http://www.(도메인 네임)
*** E-Mail: PassAdmin@(도메인 네임)
======================================================================
Sehr geehrte Dame, sehr geehrter Herr,
das Herunterladen von Filmen, Software und MP3s ist illegal und somit strafbar.
Wir moechten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unt er der IP erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel sichergestellt und es wird ein Ermit
Die Strafanzeige und die Moeglichkeit zur Stellungnahme wird Ihnen in den naechsten Tagen schriftlic
Aktenzeichen NR.:# (siehe Anhang)
Hochachtungsvoll
i.A. Juergen Stock
--- Bundeskriminalamt BKA
--- Referat LS 2
--- 65173 Wiesbaden
--- Tel.: +49 (0)611 - 55 - 12331 oder
--- Tel.: +49 (0)611 - 55 - 0
(영어)
hey its me, my old address dont work at time. i dont know why?!
in the last days ive got some mails. i'' think thaz your mails but im not sure!
plz read and check ...
cyaaaaaaa
======================================================================
Dear Sir/Madam,
we have logged your IP-address on more than 30 illegal Websites.
Important:
Please answer our questions!
The list of questions are attached.
Yours faithfully,
Steven Allison
++++ Central Intelligence Agency -CIA-
++++ Office of Public Affairs
++++ Washington, D.C. 20505
++++ phone: (703) 482-0623
++++ 7:00 a.m. to 5:00 p.m., US Eastern time
======================================================================
Dear Sir/Madam,
we have logged your IP-address on more than 30 illegal Websites.
Important:
Please answer our questions!
The list of questions are attached.
Yours faithfully,
Steven Allison
*** Federal Bureau of Investigation -FBI-
*** 935 Pennsylvania Avenue, NW, Room 3220
*** Washington, DC 20535
*** phone: (202) 324-3000
[첨부파일]
첨부파일의 확장자는 zip로 이루어져 있다.
Ebay.zip
Ebay-User_RegC.zip
Email.zip
Email_text.zip
list.zip
question_list.zip
mail.zip
mailtext.zip
mail_body.zip
reg_pass.zip
reg_pass-data.zip
(랜덤파일).zip
(랜덤파일)_Text.zip
(랜덤파일)_Textinfo.zip
[특징]
웜이 실행되면 "Error in packed Header" 에러 메시지 박스를 내고,
다음과 같이 윈도우 폴더(win 2000, NT : c:\Wint, win XP, 9x : c:\windows)에
"WinSecurity" 폴더를 생성 하여, csrss.exe(55,390 byte), services.exe(55,390 byte),
smss.exe(55,390 byte), socket1.ifo(75,996 byte), socket2.ifo(75,996 byte), socket3.ifo(75,996 byte),
bbvmwxxf.hml(0byte), filesms.fms(0byte),langeinf.lin(0byte), nonrunso.ber(0byte),
rubezahl.rub(0byte), runstop.rst(0byte), mssock1.dli, mssock2.dli,mssock3.dli 를 생성한다.
또한, 다음처럼 레지스트를 수정하여 다음 부팅시 실행되도록 조작한다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
항목에
(win9x, XP의 경우)
_Windows = c:\windows\WinSecurity\services.exe
(win2000, NT의 경우)
_Windows = c:\winnt\WinSecurity\services.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
항목에
(win9x, XP의 경우)
_Windows = c:\windows\WinSecurity\services.exe
(win2000, NT의 경우)
_Windows = c:\winnt\WinSecurity\services.exe
를 기록한다.
그리고 메일주소는 다음 확장자를 가진 파일에서 수집하여 자체 SMTP 를 이용한다.
ABC
ABD
ABX
ADB
ADE
ADP
ADR
ASP
BAK
BAS
CFG
CGI
CLS
CMS
CSV
CTL
DBX
DHTM
DOC
DSP
DSW
EML
FDB
FRM
HLP
IMB
IMH
IMM
INBOX
INI
JSP
LDB
LDIF
LOG
MBX
MDA
MDB
MDE
MDW
MDX
MHT
MMF
MSG
NAB
NCH
NFO
NSF
NWS
ODS
OFT
PHP
PHTM
PL
PMR
PP
PPT
PST
RTF
SHTML
SLK
SLN
STM
TBB
TXT
UIN
VAP
VBS
VCF
WAB
WSH
XHTML
XLS
XML
또한 다음 주소로 접속을 시도한다.
ntps1-1.uni-erlangen.de
time.mit.edu
tick.greyware.com
tock.keso.fi
ntp2c.mcc.ac.uk
ntp1.theremailer.net
time.chu.nrc.ca
time-a.timefreq.bldrdoc.gov
time.nrc.ca
ntp.massayonet.com.br
ntp2b.mcc.ac.uk
ntp2.ien.it
nist1.datum.com
swisstime.ethz.ch
clock.psu.edu
time.ien.it
ptbtime2.ptb.de
Rolex.PeachNet.edu
ntp.metas.ch
ntp3.fau.de
utcnist.colorado.edu
sundial.columbia.edu
vega.cbk.poznan.pl
ntp0.cornell.edu
ntp-sop.inria.fr
rolex.usg.edu
time.xmission.com
st.ntp.carnet.hr
ntp-1.ece.cmu.edu
time.nist.gov
ntp.lth.se
cuckoo.nevada.edu
ntp-2.ece.cmu.edu
time.kfki.hu
ntp.pads.ufrj.br
time-ext.missouri.edu
ntp1.arnes.si
timelord.uregina.ca
gandalf.theunixman.com
2006년 1월 6일에 감염된 컴퓨터는 다음 URL 에서 웜 파일을 내려 받을수 있지만 현재 모두 페이지가 삭제된 상태다.
people.freenet.de/mclvompycem/cen.vcn
scifi.pages.at/zzzvmkituktgr/etie.exe
people.freenet.de/fseqepagqfphv/sfd.exe
people.freenet.de/wjpropqmlpohj/loq.exe
home.arcor.de/jmqnqgijmng/oja.exe
people.freenet.de/qisezhin/iqor.ymv
home.arcor.de/ocllceclbhs/gth.exe
home.arcor.de/srvziadzvzr/saei.vvt
home.pages.at/npgwtjgxwthx/byb.xky
home.arcor.de/dixqshv/qzccs.exe
home.arcor.de/nhirmvtg/ggqh.kqh
people.freenet.de/urfiqileuq/tjzu.exe
people.freenet.de/smtmeihf/hiuxz.exe
free.pages.at/emcndvwoemn/lvv.jde
people.freenet.de/zmnjgmomgbdz/zzmw.gzt
또한 Microsoft Windows Malicious Software Removal Tool 프로그램인 mrt.exe 프로세스가
떠있다면 강제로 종료 시킨다.
- ※ 예방 및 수동 조치 방법
-
- 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
- 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요
