이름

W32/Mydoom.34568@mm

바이러스 종류

없음

실행환경

windows

증상요약

null

위험등급

null

확산방법

null

치료방법

터보백신Ai, 터보백신 Online, 터보백신 2001 제품군으로 치료가능. 터보백신 Ai를 사용하시고 아웃룩을 사용하신 다면 반드시 이메일 감시기를 실행하시기 바랍니다.  

※ 상세 설명

이 웜은 2월 19일 해외에서 최초 발견되었으며 국내에는 2월 24일 부터 확산 되기 시작 하였다. UPX 실행 파일 압축되 있으며, 매달 17-22일 마이크로 소프트, EMI, RIAA를 Denial of Service (DoS)공격하도록 코딩 되 있다. 또한 자체 SMTP를 내장하여 이 메일을 통해 전파되면 감염된 시스템은 레지스트리편집기와 작업관리자를 실행 할수 없게끔 종료 시킨다. Office 문서 중 xls, doc 문서를 일정 확률로 깨뜨리며, 같은 폴더내 있는 동일한 확장자의 파일이라도 피해를 입지 않는 파일도 있다. 메일을 통한 감염시 다음 파일에서 메일 주소를 추출 한다. adb dbx wab adb tbb asp php sht htm txt vbs mbx 또는 다음과 같은 레지스트리 항목이 존재 하면 메일 주소를 추출 하게 된다. HKEY_LOCAL_MACHINE\Software\Microsoft\WAB\WAB4\Wab File Name 웜이 실행 되면 "Unable to open specified file" 에러 박스를 표시하고 윈도우 시스템 폴더 (Win9x- c:\windows\system, Win2000, NT - c:\Winnt\system32, win XP - c:\windows\system32) 에 (랜덤한 파일명).dll 파일를 생성한다. 다음으로 레지스트리를 조작하여 윈도우를 실행 할 경우 먼저 웜을 실행 시키도록 한다. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 항목에 win2000,nt 의 경우 : (랜덤한 이름) : c:\winnt\system32\(랜덤한 파일명) win xp 의 경우 : (랜덤한 이름) : c:\windows\system32\(랜덤한 파일명) HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrnetVersion\Run 항목에 win2000,nt 의 경우 : (랜덤한 이름) : c:\winnt\system32\(랜덤한 파일명) win xp 의 경우 : (랜덤한 이름) : c:\windows\system32\(랜덤한 파일명) 그리고 다음과 같은 문자열을 가진 프로세스가 실행되면 종료 시킨다. avp. avp32 intrena mcafe navapw navw3 norton reged taskmg taskmo 또한 TCP 1080번 포트를 오픈하기 때문에 외부에서 감염된 시스템에 접근할 수도 있다. 압축해제된 파일의 실행 압축을 풀면 다음과 같은 문자열을 포함하고 있다. -==I am "Irony", made by jxq7==- 메일의 제목은 일정치 않으며 다음의 대소문자 문장에서 랜덤하게 결정된다. (Blank) Accident Announcement Approved Attention Confirmation Confirmation Required Current Status Details Expired account For you For your information Hello Hi Important Information Love is Love is... Notification Re: Re: Approved Re: Details Re: Thank you Read it immediately Read it immediately! Read this Read this message Readme Registration confirmation Returned Mail Schedule Something for you Thank You very very much Thank you Undeliverable message Wanted Warning You have 1 day left You use illegal File Sharing... Your IP was logged Your account has expired Your account is about to be expired Your credit card Your order is being processed Your order was registered Your request is being processed Your request was registered automatic notification automatic responder forget hi, it''''s me please read please reply read now! recent news stolen unknown 메일 본문은 다음목록에서 선택된다. Check the attached document. Details are in the attached document. You need Microsoft Office to open it. Everything ok Greetings Here is the document. Here it is I have your password :) I wait for your reply. I''''m waiting Information about you Is that from you Is that yours Kill the writer of this document! Please see the attached file for details Please, reply Read the details. Reply See the attached file for details See you Something about you Take it The document was sent in compressed format. We have received this document from your e-mail. You are a bad writer You are bad 첨부된 파일의 이름은 다음에서 선택되며 EXE, ZIP, PIF, SCR, BAT 확장자를 가진다. about approved attachment check creditcard details document friend image information jokes mail2 message money notes object part1 part2 part3 part4 paypal photo posting product readme resume story stuff textfile website your_document

※ 예방 및 수동 조치 방법

• 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
• 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요