2024 정부지원사업 랜섬웨어 대응/예방 정부 지원 사업 -
도입 기회를 놓치지 마세요!!
자세히 보기
- 바이러스 정보
- 터보백신에서 분석한 바이러스 위협 정보, 보안 통계를 확인할 수 있습니다.
- 이름
- W32/Sircam@mm
- 바이러스 종류
- Worm
- 실행환경
- Win9x, Win2000
- 증상요약
- null
- 위험등급
- null
- 확산방법
- null
- 치료방법
- 터보백신 Ai, 터보백신 2001 또는 터보백신 Online으로 치료 가능합니다.
- ※ 상세 설명
- 언어 버전에 다라 메일의 내용이 다르나 문장의 첫줄과 끝에는 항상 동일
한 메세지가 붙는다.
자체 메일 발송기능을 가지고 있어서, 감염된 사용자는 자신이 이 바이러스
에감염됬는지 조차 모른채 컴퓨터를 사용하게 된다.
감염된 사용자 컴퓨터 내에 존재하는 파일에 웜을 붙여서 보내게 되며, 이
는 개인의 정보가 유출됨을 의미 한다.
인터넷 캐시 부분을 이용하기 때문에 자신이 직접 메일을 발송한 사람이 아
니더라도 한 번 방문했던 적이 있었던 페이지의 웹 마스터에게 감염된 메일
을 보내게 된다.
이 때문에 확산력이 빠르며, 같은 사람에게 수십통의 감염된 메일이 배달
되기도 한다.
웜이 실행되면 첫번째로 HKEY_CLASSES_ROOT\exefile\shell\open\command 항
목이(기본값) C:\Recycled\SirC32.exe "%1" %* 으로 변경된다.
이후 모든 EXE 파일 실행시 웜이 먼저 실행되게 된다.
여기서 C:\Recycled\SirC32.exe 값이 없을수도 있으나, 감염이 되지 않은
것은 아니니 주의해야 한다.
두번째로 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunServices 항목에 Driver32 = "C:\WINDOWS\SYSTEM\SCam32.exe"이 추가되
며 세번째로 HKEY_LOCAL_MACHINE\Software 메뉴에 SirCam이 추가 된다.
Autoexec.bat 내에 @Win \recycled\SirC32.exe를 추가하여 부팅시 웜이 자
동적으로 실행되게 만든다.
그리고 Windows폴더에 존재하는 정상적인 Rundll32.exe파일을
Run32.exe파일로 이름을 변경한후 숨김속성으로 변형시켜 보관하며,
그 후 웜자체를 Rundll32.exe로 바꾸어 버린다.
만약 이 파일의 이름을 정상적으로 리네임 시키지 않으면 윈도우(제어판 클
릭등..)
사용시 이 파일을 찾는 에러 메세지를 내게 된다.
윈도우의 시스템 폴더(Win9X의 경우 C:\Windows\system, Win2000의 경우
C:\Winnt\system32 )에
SCam32.EXE, SCD.DLL, SCI1.DLL, SCW1.DLL의 파일 등이 생성되며, 발견시
모두 삭제해야 한다.
- ※ 예방 및 수동 조치 방법
- 1. C:\Recycled\SirC32.exe 의 값을 숨김속성 해제후 삭제한다.
2. 윈도우의 시스템 폴더(Win9X의 경우 C:\Windows\system, Win2000의 경
우 C:\Winnt\system32 )에 SCam32.EXE, SCD.DLL, SCI1.DLL, SCW1.DLL의 파
일을, 발견시 모두 삭제해야 한다.
3. C:\Windows\Temp 안에 파일이 존재 하면 지운다.(없을 수도 있다)
4. HKEY_CLASSES_ROOT\exefile\shell\open\command 항목의
(기본값) C:\Recycled\SirC32.exe "%1" %* 에서 C:\Recycled\SirC32.exe
부분만 삭제 하고 "%1"%* 만 남긴다.
5. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunServices 항목의 Driver32 = "C:\WINDOWS\SYSTEM\SCam32.exe"값 삭
제.
6. HKEY_LOCAL_MACHINE\Software 메뉴에 SirCam 항목을 삭제한다.
7. Autoexec.bat 내에 @Win \recycled\SirC32.exe 부분을 삭제한다.
8. Windows폴더에 Rundll32.exe파일을 삭제하고 숨김속성으로 되있는
Run32.exe파일을 숨김속성 해제시켜 Rundll32.exe로 이름을 바꾼다.
- 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
- 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요
