2024 정부지원사업 랜섬웨어 대응/예방 정부 지원 사업 -
도입 기회를 놓치지 마세요!!
자세히 보기
- 바이러스 정보
- 터보백신에서 분석한 바이러스 위협 정보, 보안 통계를 확인할 수 있습니다.
- 이름
- W32/Netsky.18432.C@mm
- 바이러스 종류
- Worm
- 실행환경
- Windows
- 증상요약
- null
- 위험등급
- null
- 확산방법
- null
- 치료방법
- 터보백신Ai, 터보백신 Online, 터보백신 2001 제품군으로 치료가능.
*터보백신 Ai를 사용하시고 아웃룩을 사용하신 다면 반드시 이메일 감시기를 실행하시기 바랍니다.
- ※ 상세 설명
- 이 웜은 W32/Netsky.18432의 변종으로 이메일을 통하여 4월 6일 부터 전파되기 시작 했다.<br>
첨부파일의 아이콘 모양은 도스용 프로그램 아이콘으로 되어 있다.<br>
<br>
<br><img src="http://www.everyzone.com/info/virus_db/images/Netsky_T_Icon.jpg" border="0">
<br>
웜을 포함한 이메일은 아래와 같은 내용을 가지고 있다.<br>
<br>
[메일 제목]<br>
<br>
Approved <br>
Hello <br>
Hello! <br>
Important <br>
My details <br>
Re: Approved <br>
Re: Hello <br>
Re: Hi <br>
Re: Important <br>
Re: My details <br>
Re: Request <br>
Re: Thanks you! <br>
Re: Your details <br>
Re: Your document <br>
Re: Your information <br>
Request <br>
Sample<br>
Thank you!<br>
Your details <br>
Your document <br>
Your information <br>
<br>
[메일 내용] <br>
<br>
현재 까지 알려진 것중 다음에서 선택 된어 지며 크게 세부분으로 구성되어 있다.<br>
<br>
* 본문의 첫부분<br>
Hello! <br>
Hi! <br>
<br>
* 본문의 두번째 부분<br>
Approved, here is the document. <br>
For more details see the attached document. <br>
For more information see the attached document. <br>
Here is the <랜덤한 문자열>. <br>
Here is the document. <br>
I have found the <랜덤한 문자열>. <br>
I have sent the <랜덤한 문자열>. <br>
I have spent much time for the <랜덤한 문자열>. <br>
I have spent much time for your document. <br>
It can also include the following: <br>
My <랜덤한 문자열> is attached. <br>
My <랜덤한 문자열>. <br>
Note that I have attached your document. <br>
Please have a look at the <랜덤한 문자열>. <br>
Please have a look at the attached document. <br>
Please notice the attached <랜덤한 문자열>. <br>
Please notice the attached document. <br>
Please read quickly. <br>
Please read the <랜덤한 문자열>. <br>
Please read the attached document. <br>
Please see the <랜덤한 문자열>. <br>
Please, <랜덤한 문자열>. <br>
See the document for details.<br>
The <랜덤한 문자열> is attached. <br>
The <랜덤한 문자열>. <br>
The requested <랜덤한 문자열> is attached! <br>
Your <랜덤한 문자열> is attached. <br>
Your <랜덤한 문자열>. <br>
Your file is attached to this mail. <br>
<br>
* 본문의 세번째 부분<br>
<br>
Thank you <br>
Thanks <br>
Yours sincerely <br>
<br>
<br>
<br><img src="http://www.everyzone.com/info/virus_db/images/Netsky_T_outlook.jpg" border="0">
<br>
[첨부파일]<br>
<br>
<랜덤 문자열><랜덤한 숫자>.PIF<br>
<br>
(예)<br>
Sample8.pif (18.5K)<br>
<br>
랜덤한 문자열은 다음에서 선택되어 진다.<br>
<br>
abuse list <br>
account <br>
answer <br>
approved document <br>
approved file <br>
archive <br>
concept <br>
contact list<br>
corrected document <br>
description <br>
detailed document <br>
details <br>
developement<br>
diggest <br>
document <br>
e-mail <br>
excel document <br>
final version <br>
homepage <br>
icq number <br>
important document <br>
improved document <br>
improved file <br>
information <br>
instructions <br>
letter <br>
message <br>
movie document <br>
new document <br>
notice <br>
number list<br>
old document <br>
order <br>
personal message <br>
phone number <br>
photo document <br>
picture document <br>
postcard <br>
powerpoint document <br>
presentation document <br>
release <br>
report <br>
requested document <br>
sample <br>
secound document <br>
story <br>
summary <br>
textfile <br>
user list <br>
word document<br>
<br>
(웜이 발송한 메일의 예)<br>
<br>
1. 메일 제목: Request<br>
<br>
본문 내용<br>
<br>
Hi!<br>
Please, excel document.<br>
<br>
첨부파일 이름: excel_document8.pif<br>
<br>
2. 메일 제목: Your information <br>
<br>
본문 내용<br>
<br>
Hello!<br>
Please read quickly.<br>
<br>
첨부파일 이름: description4.pif<br>
<br>
3. 메일 제목: Re: Postcard <br>
<br>
본문 내용<br>
<br>
Hello!<br>
Please have a look at the postcard.<br>
Thank you<br>
첨부파일 이름: postcard5.pif<br>
[특징] <br>
<br>
첨부파일은 특정 문자열과 숫자로 구성되어 있으며 pif확장자를 가진 파일로 전파된다.<br>
<br>
처음 실행시에 다음과 같이 윈도우 폴더 (win 2000, NT : c:\Wint, win XP : c:\windows)에 EasyAv.exe, UINMZERTINMDS.OPM 파일이 생성된다.<br>
<br>
또한, 다음처럼 레지스트를 수정하여 다음 부팅시 실행되도록 조작한다.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 항목에 <br>
(win2000, NT의 경우) <br>
EasyAV = c:\winnt\EasyAV.EXE<br>
<br>
(WinXP의 경우) <br>
EasyAV = c:\windows\EasyAV.EXE<br>
<br>
다음으로 .HTM, .HTML,, .TXT, .WAB, .PHP, .MDX, ,MBX, .MSG 확장자를 지닌 파일에서 메일 주소를 수집하여 웜이 첨부된 메일을 발송한다<br>
<br>
그리고 2004년 4월 14일 부터 23일 사이에 다음 싸이트에 DoS 공격을 할 수 있게 코딩되 있다.<br>
<br>
www.cracks.am <br>
www.emule.de <br>
www.freemule.net <br>
www.kazaa.com <br>
www.keygen.us <br>
<br>
또한 레지스트리에 Mydoom, Mimail, Bagle, 등이 생성한 값과 몇가지 레지스트리 값이 삭제 된다.<br>
<br>
마지막으로 TCP 6789 포트를 열어 두어 개인정보 유출의 위험을 가지고 있다.<br>
- ※ 예방 및 수동 조치 방법
-
- 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
- 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요