이름

W32/Mytob.47104@mm

바이러스 종류

Worm

실행환경

Windows

증상요약

이 웜은 이메일을 통하여 전파되며, 자체 SMTP 엔진을 이용한다.

위험등급

높음

확산방법

이메일, 보안취약성

치료방법

<span class="style4">터보백신 제품군으로 진단/치료 가능합니다.</span><br> <br>  

※ 상세 설명

이 웜은 이메일을 통하여 전파되며, 자체 SMTP 엔진을 이용한다. [메일 제목] 다음 중에서 선택된다. *DETECTED* Online User Violation *WARNING* Your Email Account Will Be Closed :Notice: **Last Warning** Account Alert Email Account Suspension Important Notification Notice of account limitation Security measures Your Email Account is Suspended For Security Reasons [메일 내용] 다음 중에서 선택된다. Once you have completed the form in the attached file , your account records will not be interrupted and will continue as normal. Please read the attached document and follow it''s instructions. The original message has been included as an attachment. We attached some important information regarding your account. We regret to inform you that your account has been suspended due to the violation of our site policy, more info is attached. [첨부파일] 이름 은 다음 리스트에서 선택 된다. account-details document email-doc email-info INFO info-text information instructions 확장자는 다음과 같다. BAT CMD EXE PIF SCR ZIP [특징] 웜이 실행되면 다음과 같이 윈도우 시스템 폴더(win 2000, NT : c:\Wint\system32, win XP : c:\windows\system32) 에 BETA.EXE 파일을 생성한다. 또한, 다음처럼 레지스트를 수정하여 다음 부팅시 실행되도록 조작한다. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 항목에 WINDOWS SYSTEM = "beta.exe" HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices 항목에 WINDOWS SYSTEM = "beta.exe" 를 기록한다. windows xp 에서는 firwall 설정에 관계된 다음 레지스트리를 수정한다. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess Start = "4" 를 기록한다. 이메일 주소는 다음 확장자를 가진 파일에서 추출 한다. ADB ASP CGI DBX HTM JSP PHP PL SHT TBB TXT WAB XML 다음 문자열을 포함한 메일주소로는 감염된 메일을 보내지 않는다. abuse accoun admin administrator anyone be_loyal: bsd bugs ca certific contact fcnz feste gold-certs google help icrosoft info linux listserv mail me no nobody noone not nothing ntivi page postmaster privacy rating register root samples secur service site soft somebody someone spm submit support the.bat unix webmaster www you your 다음 도메인 네임을 포함하고 있는 이메일 주소로는 감염된 메일을 보내지 않는다. .edu .gov .mil acketst arin. avp berkeley borlan bsd example fido foo. fsf. gnu google gov. hotmail iana ibm.com icrosof ietf inpris isc.o isi.e kernel linux math mit.e mozilla msn. mydomai nodomai panda pgp rfc-ed ripe. ruslis secur sendmail sopho syma tanford.e unix usenet utgers.ed 또한 일부 백신및 보안프로그램의 프로세스를 강제 종료 시키고 랜덤한 포트를 열어 놓아, 특정 IRC 채널에 접속하는 기능을 가지고 있다. 마지막으로 Hosts 파일을 수정하여 특정 주소로 접속을 방해 한다. 내용은 다음과 같다. avp.com ca.com customer.symantec.com dispatch.mcafee.com download.mcafee.com f-secure.com kaspersky.com kaspersky-labs.com liveupdate.symantec.com liveupdate.symantecliveupdate.com mast.mcafee.com mcafee.com microsoft.com my-etrust.com nai.com networkassociates.com oxyd.fr rads.mcafee.com secure.nai.com securityresponse.symantec.com sophos.com symantec.com t35.com t35.net trendmicro.com update.symantec.com updates.symantec.com us.mcafee.com viruslist.com viruslist.com virustotal.com www.avp.com www.ca.com www.f-secure.com www.grisoft.com www.kaspersky.com www.mcafee.com www.microsoft.com www.msn.com www.my-etrust.com www.nai.com www.networkassociates.com www.oxyd.fr www.sophos.com www.symantec.com www.t35.com www.t35.net www.trendmicro.com www.viruslist.com www.virustotal.com

※ 예방 및 수동 조치 방법

• 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
• 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요