이름

W32/Netsky.22016@mm

바이러스 종류

Worm

실행환경

Windows

증상요약

null

위험등급

null

확산방법

null

치료방법

터보백신Ai, 터보백신 Online, 터보백신 2001 제품군으로 치료가능. 터보백신 Ai를 사용하시고 아웃룩을 사용하신 다면 반드시 이메일 감시기를 실행하시기 바랍니다.  

※ 상세 설명

이 웜은 이메일을 통하여 2월 18일 부터 전파되었으며 국내에는</br> 2월 19일 오전 부터 전파되기 시작한 것으로 추정된다.</br> 웜을 포함한 이메일은 아래와 같은 내용을 가지고 있다.</br> </br> [메일 제목]</br> </br> hi</br> hello</br> read it immediately </br> information </br> stolen </br> fake </br> something for you </br> warning</br> unknown </br> </br> </br> [메일 내용] </br> </br> 현재 까지 알려진 것중 다음에서 선택 된다.</br> I have your password! </br> about me </br> anything ok? </br> do you? </br> fake</br> from the chatter </br> greetings </br> hello</br> here</br> here is the document. </br> here it is </br> here, the cheats</br> here, the introduction</br> here, the serials </br> hi </br> i found this document about you </br> i hope it is not true! </br> i wait for a reply! </br> i''''''''''''''''m waiting </br> information</br> information about you </br> is that from you? </br> is that true? </br> is that your account? </br> is that your name? </br> kill the writer of this document! </br> misc</br> my hero</br> ok </br> read it immediately! </br> read the details. </br> reply </br> see you </br> something about you! </br> something is fool </br> something is going wrong </br> something is going wrong! </br> stuff about you? </br> take it easy </br> that is bad </br> that''''''''''''''''s funny </br> thats wrong </br> what does it mean? </br> yes, really? </br> you are a bad writer </br> you are bad </br> you earn money </br> you feel the same </br> you try to steal </br> your name is wrong </br> </br> [첨부파일]</br> </br> 다음중에서 선택 되어 진다. 확장자가 zip 외에 scr, pif, exe 등이 붙을 </br>수 있다.</br> </br> aboutyou </br> attachment </br> bill </br> concert </br> creditcard </br> details </br> dinner </br> disco </br> doc </br> document </br> final </br> found </br> friend </br> information </br> jokes </br> location </br> mail2 </br> mails </br> me </br> message </br> msg </br> nomoney </br> note </br> object </br> part2 </br> party </br> posting </br> product </br> ps </br> ranking </br> release </br> shower </br> story </br> stuff </br> swimmingpool</br> talk </br> textfile </br> topseller </br> website </br> misc </br> </br> </br> <br> <br><img src="http://www.everyzone.com/info/virus_db/images/netsky_outlook.jpg" border="0" > <br> </br> (웜이 발송한 메일의 예)</br> </br> 1. 메일 제목 : read it immediately</br> </br> 본문 내용 here </br> </br> 첨부파일 이름: ranking.zip</br> </br> </br> 2. 메일 제목 : read it immediately</br> </br> 본문 내용 : here it is</br> </br> 첨부파일 이름 : release.zip</br> </br> </br> [특징]</br> </br> 첨부파일은 release.zip(22,144 bytes) 외 다수 이며, 압축을 해제 하면 마</br>이크로 소프트 워드 아이콘을 하고 있다. </br> <br> <br><img src="http://www.everyzone.com/info/virus_db/images/netsky_icon.jpg" border="0"> <br> </br> 처음 실행시에 다음과 같이 윈도우 시스템 폴더(win 2000, NT : c:\Wint\system32, win XP : c:\windows\system32)</br> 에 있는 services.exe 파일 이름과 똑같은 이름으로 윈도우 폴더 (win 2000, NT : c:\Wint, win XP : c:\windows)에 생성되어 마치 정상 프로그램 인 것 처럼 속인다. </br> </br> 또한, 다음처럼 레지스트를 수정하여 다음 부팅시 실행되도록 조작한다. </br> HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 항목에</br> </br> (win2000, NT의 경우) service = c:\winnt\services.exe -serv </br> </br> (WinXP의 경우) service = c:\windows\services.exe -serv</br> </br> </br> 다음으로 .HTM, .HTML,, .TXT, .WAB 확장자를 지닌 파일에서 메일 주소를 수집하여 웜이 첨부된 메일을 발송한다</br> </br> 마지막으로 레지스트리에 Mydoom 웜 변종이 생성한 값과 몇가지 레지스트리 값이 삭제 된다.</br> </br> HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 항목에</br> Taskmon</br> Explorer </br> </br> HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 항목에</br> Taskmon </br> Explorer </br> KasperskyAv </br> system </br> </br> HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices </br> 항목에</br> system</br>

※ 예방 및 수동 조치 방법

• 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
• 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요