2024 정부지원사업 랜섬웨어 대응/예방 정부 지원 사업 - 도입 기회를 놓치지 마세요!!자세히 보기
  • 바이러스 정보
  • 터보백신에서 분석한 바이러스 위협 정보, 보안 통계를 확인할 수 있습니다.
터보백신 소개
백신 패턴 업데이트
바이러스 통계
바이러스 DB
악성코드 DB
이름
W32/Mytob.83489@mm
바이러스 종류
Worm
실행환경
Windows
증상요약
레지스트리 변경, 메일발송, 특정 포트(6667) 오픈, 파일생성, 특정서버 접속
위험등급
보통
확산방법
이메일, 네트워크, 보안취약성
치료방법
<span class="style4">터보백신 제품군으로 진단/치료 가능합니다.</span><br> <br> <br> 마이크로 소프트 MS04-011 보안패치와 MS04-026가 안된 사용자는 다음 링크에서 해당 운영체제에 맞는 보안패치를 받아 설치 해야 한다. <br> <a href="http://www.microsoft.com/korea/technet/security/bulletin/MS04-011.asp"><font color="blue">MS04-011 보안패치 페이지 설명(한글)</a><br><br> <a href="http://www.microsoft.com/korea/technet/security/bulletin/MS03-039.asp"><font color="blue">MS03-039 보안패치 페이지 설명(한글)</a><br><br> 상세설명  진단/치료방법
※ 상세 설명
이 웜은 이메일을 통하여 전파되며, 감염된 메일발송, TCP 6667 번 포트를 오픈 하여 irc 서버로의 연결을 시도 한다. [메일 제목] 다음 중에서 선택된다. *DETECTED* Online User Violation *WARNING* Your email account is suspended Email Account Suspension Important Notification Members Support Notice of account limitation Security measures Warning Message: Your services near to be closed. We have suspended your account You are banned!!! Your Account is Suspended Your Account is Suspended For Security Reasons [메일 내용] Dear {도메인 주소} Member, Your e-mail account was used to send a huge amount of unsolicited spam messages during the recent week. If you could please take 5-10 minutes out of your online experience and confirm the attached document so you will not run into any future problems with the online service. Virtually yours, The {도메인 주소} Support Team ----------------------------------- Dear {도메인} Member, We have temporarily suspended your email account {메일주소}. This might be due to either of the following reasons: 1. A recent change in your personal information (i.e. change of address). 2. Submiting invalid information during the initial sign up process. 3. An innability to accurately verify your selected option of subscription due to an internal error within our processors. See the attached details to reactivate your {도메인} account. Sincerely,The {도메인} Support Team ---------------------------------------- Some information about your {도메인} account is attached. The {도메인} Support Team [첨부파일] 이름 은 다음 리스트에서 선택 된다. account-details.zip account-info.zip account-report.zip document.zip email-details.zip important-details.zip information.zip readme.zip 압축파일을 풀면 긴 공백사이로 다음과 같은 확장자가 붙는다. 첫번째 확장자 doc, htm, tmp, txt 두번째 파일 확장자 bat, cmd, exe, pif, scr [특징] 웜이 실행되면 다음과 같이 윈도우 시스템 폴더(win 2000, NT : c:\Wint\system32, win XP : c:\windows\system32) 에 wrmana32.exe 파일을 생성한다. 또한, 다음처럼 레지스트를 수정하여 다음 부팅시 실행되도록 조작한다. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 항목에 "Windows NetDDe" = "wrmana32.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce 항목에 "Windows NetDDe" = "wrmana32.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices 항목에 "Windows NetDDe" = "wrmana32.exe" HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Runonce 항목에 "Windows NetDDe" = "wrmana32.exe" HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run 항목에 "Windows NetDDe" = "wrmana32.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce 항목에 "Windows NetDDe" = "wrmana32.exe" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 항목에 "Windows NetDDe" = "wrmana32.exe" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHIT\0000\Control 항목에 "*NewlyCreated*" = "0x00000000" "ActiveService" = "shit" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHIT\0000 항목에 "Service" = "shit" "Legacy" = "0x00000001" "ConfigFlags" = "0x00000000" "Class" = "LegacyDriver" "ClassGUID" = "{8ECC055D-047F-11D1-A537-0000F8753ED1}" "DeviceDesc" = "Windows NetDDe" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHIT 항목에 "NextInstance" = "0x00000001" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\shit\Enum 항목에 "0" = "Root\LEGACY_SHIT\0000" "Count" = "0x00000001" "NextInstance" = "0x00000001" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\shit 항목에 "Type" = "0x00000020" "Start" = "00000004" "ErrorControl" = "0x00000001" "ImagePath" = "C:\WINNT\System32\wrmana32.exe" -netsvcs" "DisplayName" = "Windows NetDDe" "ObjectName" = "LocalSystem" "FailureActions" = "FF FF FF FF 00 00 00 00 00 00 00 00 01 00 00 00 00 07 09 00 01 00 00 00 01 00 00 00" "DeleteFlag" = "0x00000001" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\shit\Security 항목에 "Security" = "01 00 14 80 A0 00 00 00 AC 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 70 00 04 00 00 00 00 00 18 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 A5 4E 00 0C 00 00 1C 00 FF 01 0F 00 01 02 00 00 00 00 00 05 20 00 00 00 20 02 00 00 29 6B 99 DE 00 00 18 00 8D 01 02 00 01 01 00 00 00 00 00 05 0B 00 00 00 20 02 00 00 00 00 1C 00 FD 01 02 00 01 02 00 00 00 00 00 05 20 00 00 00 23 02 00 00 29 6B 99 DE 01 01 00 00 00 00 00 05 12 00 00 00 01 01 00 00 00 00 00 05 12 00 00 00" 를 기록한다. 그리고 다음과 같은 키값을 생성한다. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHIT HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\shit 서비스 항목에 등록될 때에는 Shit를 디스플레이네임은 Windows NetDDe를 사용한다. 이메일 주소는 다음 확장자를 가진 파일에서 추출 한다. ADB ASP CGI DBX HTM HTML JSP PHP SHT TBB XML 다음 문자열을 포함한 메일주소로는 감염된 메일을 보내지 않는다. abuse accoun acketst admin anyone arin avp berkeley borlan bugs ca certific contact example feste fido foo gold-certs google gov gov help hotmail iana ibm.com icrosof icrosoft ietf info inpris isc.o isi.e kernel linux listserv math me mil mozilla msn mydomai no nobody nodomai noone not nothing ntivi page panda pgp postmaster privacy rating rfc-ed ripe root ruslis samples secur sendmail service site soft somebody someone sopho spam spm submit support syma tanford.e the.bat unix usenet utgers.ed webmaster you your 다음 문자를 포함한 메일주소로는 감염된 메일을 전송하지 않는다. abuse accoun acketst admin administrator anyone arin. be_loyal: berkeley borlan certific contact example feste gold-certs google hotmail ibm.com icrosof icrosoft inpris isc.o isi.e kernel linux linux listserv mit.e mozilla mydomai nobody nodomai noone nothing ntivi panda postmaster privacy rating register rfc-ed ripe. ruslis samples secur secur sendmail service service somebody someone sopho submit support system tanford.e the.bat usenet utgers.ed virusalert webmaster 마지막으로 TCP TCP 6667 포트를 이용하여 특정 서버에 접속을 시도한다.
※ 예방 및 수동 조치 방법
  • 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
  • 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요
이전글
Backdoor-W32/SdBot.184832
다음글
Trojan-W32/Xema.49152
목록