2024 정부지원사업 랜섬웨어 대응/예방 정부 지원 사업 -
도입 기회를 놓치지 마세요!!
자세히 보기
- 바이러스 정보
- 터보백신에서 분석한 바이러스 위협 정보, 보안 통계를 확인할 수 있습니다.
- 이름
- W32/Mytob.53374@mm
- 바이러스 종류
- Worm
- 실행환경
- Windows
- 증상요약
- 자체 smtp 를 이용하여 이메일로 전파된다.
- 위험등급
- 보통
- 확산방법
- 네트워크, 보안취약
- 치료방법
- <span class="style4">터보백신 제품군으로 진단/치료 가능합니다.</span><br>
<br>
<br>
마이크로 소프트 MS04-011 보안패치와 MS04-026가 안된 사용자는
다음 링크에서 해당 운영체제에 맞는 보안패치를 받아 설치 해야 한다.
<br>
<a href="http://www.microsoft.com/korea/technet/security/bulletin/MS04-011.asp"><font
color="blue">MS04-011 보안패치 페이지 설명(한글)</a><br><br>
<a href="http://www.microsoft.com/korea/technet/security/bulletin/MS03-039.asp"><font
color="blue">MS03-039 보안패치 페이지 설명(한글)</a><br><br>
- ※ 상세 설명
- 이 웜은 이메일을 통하여 전파되며, 자체 SMTP 엔진을 이용한다.
[메일 제목]
다음 중에서 선택된다.
*DETECTED* Online User Violation
*WARNING* Your Email Account Will Be Closed
:Notice: **Last Warning**
Account Alert
Email Account Suspension
Important Notification
Notice of account limitation
Security measures
Your Email Account is Suspended For Security Reasons
[메일 내용]
다음 중에서 선택된다.
Once you have completed the form in the attached file , your account records will not be interrupted and will continue as normal.
Please read the attached document and follow it''s instructions.
The original message has been included as an attachment.
We attached some important information regarding your account.
We regret to inform you that your account has been suspended due to the violation of our site policy, more info is attached.
[첨부파일]
이름 은 다음 리스트에서 선택 된다.
account-details
document
email-doc
email-info
information
info-text
instructions
body
doc
text
확장자는 다음과 같다.
BAT
CMD
EXE
PIF
SCR
ZIP
[특징]
웜이 실행되면 다음과 같이 윈도우 시스템 폴더(win 2000, NT : c:\Wint\system32, win XP : c:\windows\system32)
에 Lien Van de Kelder.exe 파일을 생성한다.
또한, 다음처럼 레지스트를 수정하여 다음 부팅시 실행되도록 조작한다.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
항목에
http://www.lienvandekelder.be = "We Love Lien Van de Kelder.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
항목에
http://www.lienvandekelder.be = "We Love Lien Van de Kelder.exe"
를 기록한다.
windows xp 에서는 firwall 설정에 관계된 다음 레지스트리를 수정한다.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess
Start = "4"
를 기록한다.
이메일 주소는 다음 확장자를 가진 파일에서 추출 한다.
ADB
ASP
DBX
HTM
PHP
SHT
TBB
WAB
다음 문자열을 포함한 메일주소로는 감염된 메일을 보내지 않는다.
acketst
arin.
be_loyal:
berkeley
borlan
example
google
hotmail
ibm.com
icrosof
inpris
isc.o
isi.e
kernel
linux
mit.e
mozilla
mydomai
nodomai
panda
postmaster
rfc-ed
ripe.
ruslis
samples
secur
sendmail
sopho
tanford.e
usenet
utgers.ed
webmaster
마지막으로 Hosts 파일을 수정하여 특정 주소로 접속을 방해 한다.
내용은 다음과 같다.
127.0.0.1 avp.com
127.0.0.1 ca.com
127.0.0.1 customer.symantec.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 mast.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 nai.com
127.0.0.1 networkassociates.com
127.0.0.1 rads.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 sophos.com
127.0.0.1 symantec.com
127.0.0.1 trendmicro.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 viruslist.com
127.0.0.1 www.avp.com
127.0.0.1 www.ca.com
127.0.0.1 www.f-secure.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.mcafee.com
127.0.0.1 www.microsoft.com
127.0.0.1 www.my-etrust.com
127.0.0.1 www.nai.com
127.0.0.1 www.networkassociates.com
127.0.0.1 www.sophos.com
127.0.0.1 www.symantec.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.viruslist.com
- ※ 예방 및 수동 조치 방법
-
- 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
- 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요
