이름

W32/Mydoom@mm

바이러스 종류

Worm

실행환경

Windosws

증상요약

null

위험등급

null

확산방법

null

치료방법

터보백신Ai, 터보백신 Online, 터보백신 2001 제품군으로 치료가능. 터보백신 Ai를 사용하시고 아웃룩을 사용하신 다면 반드시 이메일 감시기를 실행하시기 바랍니다.  

※ 상세 설명

이 웜은 1월 26일 발견되었으며 국내에는 1월 27일 오전부터 확산 되기 시작 하였다. UPX 실행 파일 압축되 있으며, 2월 12일 이후에는 실행되지 않도록 코딩 되 있다. 또한 자체 SMTP를 내장하여 이 메일과 KaZaA 라는 P2P 공유 프로그램을 통해 감염 되어 확산되는 2가지 방식을 가진다. 메일을 통한 감염시 다음 파일에서 메일 주소를 추출 한다. dbx wab adb tbb asp php sht htm txt 웜이 실행 되면 메모장에 깨어진 글자를 표시하며 윈도우 시스템 폴더 (Win9x- c:\windows\system, Win2000, NT - c:\Winnt\system32, win XP - c:\windows\system32) 에 taskmon.exe(22,528byte) , Shimgapi.dll(4,096byte)를 생성한다. 다음으로 레지스트리를 조작하여 윈도우를 실행 할 경우 먼저 웜을 실행 시키도록 한다. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 항목에 win2000,nt 의 경우 : TaskMon : c:\winnt\system32\taskmon.exe win xp 의 경우 : TaskMon : c:\windows\system32\taskmon.exe HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrnetVersion\Run 항목에 win2000,nt 의 경우 : TaskMon : c:\winnt\system32\taskmon.exe win xp 의 경우 : TaskMon : c:\windows\system32\taskmon.exe HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 항목에 win2000,nt 의 경우 : (Default) : C:\WINNT\System32\shimgapi.dll win xp 의 경우 : (Default) : C:\WINNT\System32\shimgapi.dll 또한 TCP 3127번 포트를 오픈하기 때문에 외부에서 감염된 시스템에 접근할 수도 있다. 메일의 제목은 일정치 않으며 다음의 대소문자 문장에서 랜덤하게 결정된다. Hi HI error ERROR Test TEST Hello HELLO Mail Delivery System MAIL DELIVERY SYSTEM FW: Returned mail: see transcript for details 메일 본문은 다음과 같으나 일정치 않으며 없을 수도 있다 The message contains Unicode characters and has been sent as a binary attachment. The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment. Mail transaction failed. Partial message is available. test 첨부된 파일의 이름은 무작위적이며 다음 처럼 EXE, ZIP, PIF, SCR, BAT 확장자를 가진다. 예를 들면 ancd.zip aqmd.zip body.scr doc.zip document.zip document.pif message.zip test.zip text.scr 와 같은 형태이다.

※ 예방 및 수동 조치 방법

• 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
• 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요