2024 정부지원사업 랜섬웨어 대응/예방 정부 지원 사업 -
도입 기회를 놓치지 마세요!!
자세히 보기
- 바이러스 정보
- 터보백신에서 분석한 바이러스 위협 정보, 보안 통계를 확인할 수 있습니다.
- 이름
- W32/Mytob.74350@mm
- 바이러스 종류
- Worm
- 실행환경
- Windows
- 증상요약
- 이 웜은 이메일을 통하여 전파되며, 자체 SMTP 엔진을 이용한다.
- 위험등급
- 높음
- 확산방법
- 네트워크, 보안취약성
- 치료방법
- <span class="style4">터보백신 제품군으로 진단/치료 가능합니다.</span><br>
<br>
<br>
마이크로 소프트 MS04-011 보안패치와 MS04-026가 안된 사용자는
다음 링크에서 해당 운영체제에 맞는 보안패치를 받아 설치 해야 한다.
<br>
<a href="http://www.microsoft.com/korea/technet/security/bulletin/MS04-011.asp"><font
color="blue">MS04-011 보안패치 페이지 설명(한글)</a><br><br>
<a href="http://www.microsoft.com/korea/technet/security/bulletin/MS03-039.asp"><font
color="blue">MS03-039 보안패치 페이지 설명(한글)</a><br><br>
터보백신 Ai를 사용하시고 아웃룩을 사용하신 다면 반드시 이메일 감시기를
실행하시기 바랍니다.
- ※ 상세 설명
- [메일 제목]
다음중에 선택된다.
Good day
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
[메일 내용]
다음중에 선택 된다.
Here are your banks documents.
Mail transaction failed. Partial message is available.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
The message contains Unicode characters and has been sent as a binary attachment.
The original message was included as an attachment.
[첨부파일]
이름 은 다음 리스트에서 선택 된다.
data
doc
document
file
message
readme
test
text
확장자는 다음과 같다.
BAT
CMD
EXE
PIF
SCR
[특징]
웜이 실행되면 다음과 같이 윈도우 시스템 폴더(win 2000, NT : c:\Winnt\system32, win XP : c:\windows\system32)
에 ehshell.exe 파일을 생성하고, 윈도우 폴더 (win 2000, NT : c:\winnt, win XP, 98, ME : c:\windows)
에 my_photo2005.scr, funny pic.scr, see_this!!.scr, hellmsn.exe 파일을 생성한다.
또한, 다음처럼 레지스트를 수정하여 다음 부팅시 실행되도록 조작한다.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
항목에
WIN = "ehshell.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
항목에
WIN = “ehshell.exe”
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
항목에
WIN = "ehshell.exe"
를 기록한다.
그리고 다음 레지스트리 값을 생성한다.
HKEY_LOCAL_MACHINE\Software\Microsoft\Ole
항목에
WIN = “ehshell.exe”
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
항목에
WIN = “ehshell.exe”
HKEY_CURRENT_USER\Software\Microsoft\Ole
항목에
WIN = “ehshell.exe”
HKEY_CURRENT_USER\System\CurrentControlSet\Control\Lsa
항목에
WIN = “ehshell.exe”
이메일 주소는 다음 확장자를 가진 파일에서 추출 한다.
ADB
ASP
DBX
HTM
PHP
SHT
TBB
WAB
다음과 같은 하드 코딩된 메일주소를 가지고 있다.
aol.com
cia.gov
fbi.gov
hotmail.com
juno.com
msn.com
yahoo.com
다음 문자열을 포함한 메일주소로는 감염된 메일을 보내지 않는다.
accoun
acketst
admin
anyone
arin.
avp
be_loyal:
berkeley
borlan
bsd
bugs
certific
contact
edu
example
feste
fido
foo.
fsf.
gnu
gold-certs
google
gov
gov.
help
iana
ibm.com
icrosof
icrosoft
ietf
info
inpris
isc.o
isi.e
kernel
linux
listserv
math
mil
mit.e
mozilla
mydomai
nobody
nodomai
noone
not
nothing
ntivi
page
panda
pgp
postmaster
privacy
rating
rfc-ed
ripe.
root
ruslis
samples
secur
sendmail
service
site
soft
somebody
someone
sopho
submit
support
syma
tanford.e
the.bat
unix
usenet
utgers.ed
webmaster
you
your
마지막으로 Hosts 파일을 수정하여 특정 주소로 접속을 방해 한다.
그 주소는 다음과 같다.
avp.com
ca.com
customer.symantec.com
dispatch.mcafee.com
download.mcafee.com
f-secure.com
kaspersky.com
liveupdate.symantec.com
liveupdate.symantecliveupdate.com
mast.mcafee.com
mcafee.com
my-etrust.com
nai.com
networkassociates.com
rads.mcafee.com
secure.nai.com
securityresponse.symantec.com
sophos.com
symantec.com
trendmicro.com
update.symantec.com
updates.symantec.com
us.mcafee.com
viruslist.com
www.avp.com
www.ca.com
www.f-secure.com
www.kaspersky.com
www.mcafee.com
www.microsoft.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.sophos.com
www.symantec.com
www.trendmicro.com
www.viruslist.com
- ※ 예방 및 수동 조치 방법
-
- 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
- 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요
