2024 정부지원사업 랜섬웨어 대응/예방 정부 지원 사업 -
도입 기회를 놓치지 마세요!!
자세히 보기
- 바이러스 정보
- 터보백신에서 분석한 바이러스 위협 정보, 보안 통계를 확인할 수 있습니다.
- 이름
- W32/Mytob.33485@mm
- 바이러스 종류
- Worm
- 실행환경
- Windows
- 증상요약
- 감염된 메일발송하고, 방화벽 동작 레지스트리 값변경및, 특정 포트를 오픈 하여 irc 서버로의 연결을 시도 한다.
- 위험등급
- 보통
- 확산방법
- 이메일
- 치료방법
- <span class="style4">터보백신 제품군으로 진단/치료 가능합니다.</span><br>
<br>
<br>
마이크로 소프트 MS04-011 보안패치와 MS04-026가 안된 사용자는
다음 링크에서 해당 운영체제에 맞는 보안패치를 받아 설치 해야 한다.
<br>
<a href="http://www.microsoft.com/korea/technet/security/bulletin/MS04-011.asp"><font
color="blue">MS04-011 보안패치 페이지 설명(한글)</a><br><br>
<a href="http://www.microsoft.com/korea/technet/security/bulletin/MS03-039.asp"><font
color="blue">MS03-039 보안패치 페이지 설명(한글)</a><br><br>
터보백신 Ai를 사용하시고 아웃룩을 사용하신 다면 반드시 이메일 감시기를
실행하시기 바랍니다.
- ※ 상세 설명
- [메일 제목]
다음 중에서 선택된다.
*DETECTED* Online User Violation
Email Account Suspension
Important Notification
Members Support
Notice of account limitation
Security measures
Warning Message: Your services near to be closed.
You have successfully updated your password
Your Account is Suspended
Your Account is Suspended For Security Reasons
Your new account password is approved
Your password has been successfully updated
Your password has been updated
[메일 내용]
Dear {도메인 아이디} Member,
We have temporarily suspended your email account {도메인주소}.
This might be due to either of the following reasons:
1. A recent change in your personal information
(i.e. change of address).
2. Submiting invalid information during
the initial sign up process.
3. An innability to accurately verify
your selected option of subscription
due to an internal error within our processors.
See the details to reactivate your {random} account.
Sincerely,The {도메인주소} Support Team
+++ Attachment: No Virus (Clean)
+++ {도메인주소} Antivirus - www.{도메인주소}
[첨부파일]
이름 은 다음 리스트에서 선택 된다.
accepted-password
account-details
account-info
account-password
account-report
approved-password
document
email-details
email-password
important-details
new-password
password
readme
updated-password
확장자는 다음과 같다.
BAT
CMD
EXE
PIF
SCR
ZIP
[특징]
웜이 실행되면 다음과 같이 윈도우 시스템 폴더(win 2000, NT : c:\Wint\system32, win XP : c:\windows\system32)
에 skybotx.exe 파일을 생성한다.
또한, 다음처럼 레지스트를 수정하여 다음 부팅시 실행되도록 조작한다.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
항목에
WINDOWS SYSTEM = "skybotx.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
항목에
WINDOWS SYSTEM = "skybotx.exe"
를 기록한다.
windows xp 에서는 firwall 설정에 관계된 다음 레지스트리를 수정한다.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess
Start = "4"
이메일 주소는 다음 확장자를 가진 파일에서 추출 한다.
ADB
ASP
DBX
HTM
JSP
PHP
PL
SHT
TBB
WAB
XML
다음 문자열을 포함한 메일주소로는 감염된 메일을 보내지 않는다.
acketst
arin.
be_loyal:
berkeley
borlan
example
google
hotmail
ibm.com
icrosof
inpris
isc.o
isi.e
kernel
linux
mit.e
mozilla
mydomai
nodomai
panda
postmaster
rfc-ed
ripe.
ruslis
samples
secur
sendmail
sopho
tanford.e
usenet
utgers.ed
webmaster
www
you
your
다음 문자를 포함한 메일주소로는 감염된 메일을 전송하지 않는다.
abuse
accoun
acketst
admin
administrator
anyone
arin.
be_loyal:
berkeley
borlan
certific
contact
example
feste
gold-certs
google
hotmail
ibm.com
icrosof
icrosoft
inpris
isc.o
isi.e
kernel
linux
linux
listserv
mit.e
mozilla
mydomai
nobody
nodomai
noone
nothing
ntivi
panda
postmaster
privacy
rating
register
rfc-ed
ripe.
ruslis
samples
secur
secur
sendmail
service
service
somebody
someone
sopho
submit
support
system
tanford.e
the.bat
usenet
utgers.ed
virusalert
webmaster
그리고 TCP 6999,7373 포트를 이용하여 특정 IRC 서버에 접속을 시도한다.
마지막으로 Hosts 파일을 수정하여 특정 주소로 접속을 방해 한다.
내용은 다음과 같다.
127.0.0.1 avp.com
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 pandasoftware.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.microsoft.com
127.0.0.1 microsoft.com
127.0.0.1 www.virustotal.com
127.0.0.1 virustotal.com
127.0.0.1 www.amazon.com
127.0.0.1 www.amazon.co.uk
127.0.0.1 www.amazon.ca
127.0.0.1 www.amazon.fr
127.0.0.1 www.paypal.com
127.0.0.1 paypal.com
127.0.0.1 moneybookers.com
127.0.0.1 www.moneybookers.com
127.0.0.1 www.ebay.com
127.0.0.1 ebay.com
- ※ 예방 및 수동 조치 방법
-
- 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
- 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요
