이름

W32/Mydoom.25771@mm

바이러스 종류

Worm

실행환경

Windows

증상요약

null

위험등급

null

확산방법

null

치료방법

터보백신Ai, 터보백신 Online, 터보백신 2001 제품군으로 치료가능. 터보백신 Ai를 사용하시고 아웃룩을 사용하신 다면 반드시 이메일 감시기를 실행하시기 바랍니다.  

※ 상세 설명

이 웜은 이메일을 통하여 전파되며, 자체 SMTP를 사용하여 확산 속도가 빠르다.<br> <br> [메일 제목] <br> <br> error<br> hello <br> hi <br> report <br> status <br> test <br> delivered<br> delivery failed <br> Delivery reports about your e-mail <br> Mail System Error - Returned Mail <br> Message could not be delivered <br> Returned mail: Data format error <br> Returned mail: see transcript for details <br> <br> [메일 내용] <br> <br> 그림참조<br> <br> [첨부파일]<br> <br> readme <br> instruction<br> transcript <br> mail <br> letter <br> file <br> text <br> attachment <br> document <br> message <br> <br> 압축파일 형식으로 첨부파일이 보내질때 파일명은 메일을 받는 사람의 메일주소로 이루어 진다.확장자는 cmd, bat, com, exe, pif, scr 이다.<br> <br> <br><img src="http://www.everyzone.com/info/virus_db/images/W32_Mydoom_25771.jpg" border="0"> <br> <br> [특징] <br> <br> 웜이 실행되면 다음과 같이 윈도우 시스템 폴더(win 2000, NT : c:\Wint\system32, win XP : c:\windows\system32) 에 - java.exe : (25,771 byte),services.exe : (8,192 byte)파일을 생성한다.<br> <br> 또한, 다음처럼 레지스트를 수정하여 다음 부팅시 실행되도록 조작한다. <br> HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run <br> 항목에 <br> <br> (win9x의 경우) <br> JavaVM = c:\windows\java.exe <br> Services = c:\windows\services.exe <br> <br> (win2000, NT의 경우) <br> JavaVM = c:\winnt\java.exe <br> Services = c:\winnt\services.exe<br> <br> (WinXP의 경우) <br> JavaVM = c:\windows\java.exe <br> Services = c:\windows\services.exe<br> <br> HKEY_LOCAL_MACHINE\Software\Microsoft\Daemon <br> <br> HKEY_CURRENT_USER\Software\Microsoft\Daemon <br> <br> 를 기록한다. <br> <br> 다음으로 .doc, .txt, .htm, .html 확장자를 지닌 파일에서 메일 주소를 수집하여 자체 SMTP를 이용하여 웜이 첨부된 메일을 발송하지만 다음 도메인으로는 감염된 메일을 발송하지 않는다<br> <br> abuse <br> accoun <br> admin <br> anyone <br> arin. <br> avp <br> bar. <br> bugs <br> domain <br> example <br> feste <br> foo <br> foo.com <br> gmail <br> gnu. <br> gold-certs <br> google <br> help <br> hotmail <br> info <br> listserv <br> mailer-d <br> master <br> microsoft <br> msdn. <br> msn. <br> nobody <br> noone <br> not <br> nothing <br> ntivi <br> page <br> panda <br> privacycertific <br> rarsoft <br> rating <br> ripe. <br> sample <br> sarc. <br> seclist <br> secur <br> sf.net <br> site <br> soft <br> someone <br> sophos <br> sourceforge<br> spam <br> spersk <br> submit <br> support <br> syma <br> the.bat <br> trend <br> update <br> uslis <br> winrar <br> winzip <br> yahoo <br> you <br> your <br> spm <br> <br> 마지막으로 특정 호스트에서 트로이얀 목마를 내려 받으려 접속을 시도 한다.<br>

※ 예방 및 수동 조치 방법

• 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
• 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요