이름

W32/Netsky.17920@mm

바이러스 종류

Worm

실행환경

Windows

증상요약

null

위험등급

null

확산방법

null

치료방법

터보백신Ai, 터보백신 Online, 터보백신 2001 제품군으로 치료가능. 터보백신 Ai를 사용하시고 아웃룩을 사용하신 다면 반드시 이메일 감시기를 실행하시기 바랍니다.  

※ 상세 설명

이 웜은 4월 28일 부터 전파되기 시작 하였으며 TCP 25 번 포트의 이상 트레픽을 일으킨다. <br> 웜을 포함한 이메일은 아래와 같은 내용을 가지고 있다.<br> <br> [메일 제목]<br> <br> Correction <br> Criminal <br> Found <br> Funny <br> Hurts <br> Letter <br> Money <br> More samples <br> Numbers <br> Only love? <br> Password <br> Picture <br> Pictures <br> Privacy <br> Question <br> Stolen <br> Text <br> Wow <br> Illegal <br> <br> [메일 내용] <br> <br> 현재 까지 알려진 것중 다음에서 선택 된어 진다.<br> <br> Are your numbers correct? <br> Do you have more photos about you? <br> Do you have more samples? <br> Do you have no money? <br> Do you have written the letter? <br> Does it hurt you? <br> Hey, are you criminal?<br> How can I help you? <br> I''''ve found your creditcard. Check the data! <br> I''''ve your password. Take it easy! <br> Please do not sent me your illegal stuff again!!! <br> Please use the font arial! <br> Still? <br> The text you sent to me is not so good! <br> True love letter? <br> Why do you show your body? <br> Wow! Why are you so shy? <br> Your pictures are good! <br> <br> <br><img src="http://www.everyzone.com/info/virus_db/images/Netsky_19720_outlook.jpg" border="0"> <br> [첨부파일]<br> <br> 다음에서 선택되어 진다.<br> <br> abuses.pif <br> all_pictures.pif <br> corrected_doc.pif <br> document1.pif <br> hurts.pif <br> image034.pif <br> loveletter.pif <br> my_stolen_document.pif <br> myabuselist.pif <br> pin_tel.pif <br> visa_data.pif <br> your_bill.pif <br> your_letter.pif <br> your_picture.pif <br> your_text.pif <br> <br> (웜이 발송한 메일의 예)<br> <br> 1. 메일 제목: Stolen<br> <br> 본문 내용: Do you have asked me?<br> <br> 첨부파일 이름: my_stolen_document.pif.<br> <br> 2. 메일 제목: Criminal<br> <br> 본문 내용: Hey, are you criminal?<br> <br> 첨부파일 이름: myabuselist.pif.<br> <br> [특징] <br> <br> 웜이 실행 되면 다음과 같이 윈도우 폴더 (win 2000, NT : c:\Wint, win XP : c:\windows)에 CSRSS.exe 파일이 생성된다.<br> <br> 이 파일과 동일한 이름을 가진 정상 파일은 윈도우 시스템 폴더에 있다. <br> 또한, 다음처럼 레지스트를 수정하여 다음 부팅시 실행되도록 조작한다. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 항목에 <br> (win2000, NT의 경우) <br> BagleAV = c:\winnt\CSRSS.EXE<br> <br> (WinXP의 경우) <br> BagleAV = c:\windows\CSRSS.EXE<br> <br> 다음으로 .HTM, .HTML,, .TXT, .WAB, .PHP, .MDX, ,MBX, .MSG 확장자를 지닌 파일에서 메일 주소를 수집하여 웜이 첨부된 메일을 발송한다.<br>

※ 예방 및 수동 조치 방법

• 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
• 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요