보안IT뉴스 보안권고문 보안Tip 보안처방 보안통신 보안용어 보안백신메일 보안캘린더
보안위협DB 찾기
보안칼럼
에브리존 Zip에브리존 See에브리존 FTP

  보안IT뉴스
  보안권고문
  보안Tip
  보안처방
  보안통신
  보안용어
  보안백신메일
  보안캘린더
  보안위협DB찾기
  보안칼럼

   보안위협DB찾기
   
  
 목록 |  윗글 |  아랫글  
W32/Mydoom@mm
 바이러스 종류
Worm
 실행환경
Windosws
 발견일
2004년01월26일
 제작지
불분명
 위험등급
 확산방법
 바이러스 크기
22,528 byte
 첨부파일
22,528 byte 크기로 EXE, ZIP, PIF, SCR, BAT 확장자를 가지며 첨부된 파일의 이름은 무작위적이다.
 메일제목
  Hello, Error, Test 외 다수
 증상요약
  
 치료방법

터보백신Ai, 터보백신 Online, 터보백신 2001 제품군으로 치료가능.

터보백신 Ai를 사용하시고 아웃룩을 사용하신 다면 반드시 이메일 감시기를
실행하시기 바랍니다.

  
 
상세설명
이 웜은 1월 26일 발견되었으며 국내에는 1월 27일 오전부터 확산 되기 시작 하였다.
UPX 실행 파일 압축되 있으며, 2월 12일 이후에는 실행되지 않도록 코딩 되 있다.
또한 자체 SMTP를 내장하여 이 메일과 KaZaA 라는 P2P 공유 프로그램을 통해 감염 되어 확산되는 2가지 방식을 가진다.

메일을 통한 감염시 다음 파일에서 메일 주소를 추출 한다.
dbx
wab
adb
tbb
asp
php
sht
htm
txt

웜이 실행 되면 메모장에 깨어진 글자를 표시하며 윈도우 시스템 폴더
(Win9x- c:\windows\system, Win2000, NT - c:\Winnt\system32, win XP - c:\windows\system32)
에 taskmon.exe(22,528byte) , Shimgapi.dll(4,096byte)를 생성한다.

다음으로 레지스트리를 조작하여 윈도우를 실행 할 경우 먼저 웜을 실행 시키도록 한다.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
항목에

win2000,nt 의 경우 : TaskMon : c:\winnt\system32\taskmon.exe
win xp 의 경우 : TaskMon : c:\windows\system32\taskmon.exe

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrnetVersion\Run
항목에

win2000,nt 의 경우 : TaskMon : c:\winnt\system32\taskmon.exe
win xp 의 경우 : TaskMon : c:\windows\system32\taskmon.exe

HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
항목에

win2000,nt 의 경우 : (Default) : C:\WINNT\System32\shimgapi.dll
win xp 의 경우 : (Default) : C:\WINNT\System32\shimgapi.dll

또한 TCP 3127번 포트를 오픈하기 때문에 외부에서 감염된 시스템에 접근할 수도 있다.


메일의 제목은 일정치 않으며 다음의 대소문자 문장에서 랜덤하게 결정된다.

Hi
HI
error
ERROR
Test
TEST
Hello
HELLO
Mail Delivery System
MAIL DELIVERY SYSTEM
FW: Returned mail: see transcript for details

메일 본문은 다음과 같으나 일정치 않으며 없을 수도 있다

The message contains Unicode characters and has been sent as a binary attachment.

The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

Mail transaction failed. Partial message is available.

test

첨부된 파일의 이름은 무작위적이며 다음 처럼 EXE, ZIP, PIF, SCR, BAT 확장자를 가진다.

예를 들면
ancd.zip
aqmd.zip
body.scr
doc.zip
document.zip
document.pif
message.zip
test.zip
text.scr 와 같은 형태이다.
 
예방 및 수동조치방법
무단전재ㆍ배포금지
에브리존에서 제공하는 모든 컨텐츠 정보에 대한 저작권은 에브리존의 소유이며 관련법의 보호를 받습니다.
에브리존의 사전 허가 없이 에브리존 컨텐츠를 무단으로 전재, 배포를 금지되어 있습니다.
이를 위반하는 경우 손해배상의 대상 또는 민.형사상의 법적 소송 대상이 될 수 있습니다.
* 에브리존 정보 이용 문의 : greenking@everyzone.com
 목록