Netsky웜이 생각보다 빨리 전파되고 있습니다.

p2p를 예로 들면 오후 2시 까지만해도 없던 자료고 밤 11시가 되니까 엄청나게 늘어버렸습니다.
전파 속도가 장난 아니게 빠릅니다.

시만텍은 어제는 2등급을 내렸으나 오늘은 3등급으로 올렸습니다. 안철수연구소와 하우리 에브리
존은 오늘 모두 긴급 또는 정규 업데이트를 하였습니다.

웜 파일을 역어셈 해보니까 netsky.a, netsky.b 보다 더 빨리 전파되게 되어 있습니다. 예를들어
netsky.a 웜은 p2p에서 배포될 수 있는 파일은 대략 20개 정도 밖에 안되었는데, Netsky.c 웜은
40개 이상으로 늘어나버렸습니다.

그리고 시만텍에서는 공식적으로 변종이 Netsky.B, Netsky.C로 나와 있으나 비공식적으로는 대략
5~10개가 넘는 것으로 파악되고 있습니다. 변종은 upx 압축을 - petite압축으로 바꾸거나 다른 압
축으로 바꾸는 것이었습니다. 또는 다른 사이트를 공격하거나 p2p에 전파될수 있는 파일들이 커지고
또한 10~20개의 사이트에 쿼리를 보내 네트워크 속도를 느리게하는등의 증상이 있습니다.

또한 v3, virobot, tv ai 등은 실행압축된 파일을 압축푸는 기능은 없습니다. 따라서 압축이 풀린
웜이 배포된다면 어떻게 대처할 방법이 없습니다. 주의하세요.

볼랜드 포럼 유저분들의 주의를 요합니다. 이하 아래는 하우리에서 제공하는 Netsky.C정보 입니다.

====================================================================================

[요  약]

2004년 2월 25일 외국에서 발견되었으며, (주)하우리 바이러스 신고 센터에는 적은수의 직접적인 감염 신고를 받았으나, 웜이 발송한 메일이 지속적으로 접수 되고 있는 것으로 보아 사용자가 감염된 사실을 모르는 경우가 많기 때문으로 추정하고 있다.

웜은 E-메일,네트워크크 드라이브, P2P 파일 공유 프로그램을 통하여 확산되며, 감염되면, 일부 알려진 웜을 제거하기도 한다.

[감염 방법]

e메일로 발송 대상은 아래의 확장명을 지닌 파일에서 메일 주소를 추출하여 결정한다.

- .adb
-.asp
-.cgi
-.dbx
-.dhtm
-.doc
-.eml
-.htm
-.oft
-.php
-.pl
-.rtf
-.sht
-.shtm
-.msg
-.tbb
-.txt
-.uin
-.vbs
-.wab

보낸 사람 : (실제 웜에 감염된 사람이 아닌 변조되어 나타날 수 있다.)
메일 제목 : (아래의 리스트에서 선택되어 진다.)


Delivery Failed,Status,report,question,trust me,hey,Re: excuse me
read it immediatelly,hi,Re: does it?,Yep,important,hello,dear,Re: unknown
fake?,warning,moin,what's up?,info,Re: information,Here is it,stolen
private?,good morning,illegal...,error,take it,re:,Re: Re: Re: Re:,you?
something for you,exception,Re: hey,excuse me,Re: hi,Re: does it?
Re: important,Re: hello,believe me,Question,denied!,notification
lol,last chance!,I'm back!,its me,notice!

메일 본문 : (다음의 본문 리스트에서 선택되어 진다.)

메일 제목 및 본문 : (다음의 제목 및 본문 리스트에서 선택되어 진다.)

- is that your name?
- picture?
- message?
- is that your account?
- pwd?
- I wait for an answer!
- abuse?
- is that yours?
- you are a bad writer
- I don't know your document!
- i found this document about you.
- time to fear?
- really?
- do you know this????
- i know your document!
- did you sent it to me?
- this file is bad!
- why should I?
- pages?
- her.
- another pic, have fun! ... :->
- test it
- child porn?
- greetings
- xxx ?
- stuff about you?
- your document is not good
- something is going wrong!
- your photo is poor
- information about you?
- the information is wrong!
- doc about me?
- kill him on the picture!
- from the chatter (my photo!)
- from your lover ;-)
- love letter?
- here, the serials
- are you a teacherin the picture?
- your TAN number?
- take it easy!
- why?
- you are naked in this document!
- thats wrong!
- your icq number?
- i am desperate
- modifications?
- your personal record?
- yes.
- misc. and so on. see you!
- your attachment? verify it.
- you earn money, see the attachment!
- is that your attachment?
- is that your website?
- you feel the same.
- meaning of that?
- possible?
- you have tried to steal!
- did you ask me for that?
- you are bad
- your job? (I found that!)
- is that possible?
- something is going ...
- something is not ok
- did you know from this document?
- wrong calculation! (see the attachment!...
- drugs? ...
- does it matter?
- i have received this.
- best?
- the truth?
- your body?
- your eyes?
- your face?
- File is self-decryting.
- File is damaged.
- File is bad.
- i saw you last week!
- xxx service
- your account is expired!
- you cannot hide yourself! (see photo)
- copyright?
- what still?
- who?
- how?
- only encrypted!
- personal message!
- my advice....
- i've found it about you
- great xxx!
- man or women?
- child or adult?
- here is yours!
- a crazy doc about you
- xxx about you?
- i don't want your xxx pics!
- doc?
- trial?
- what?
- ;-)
- i need you!
- correct it!
- see this!
- it's a secret!
- this is nothing for kids!
- it's so similar as yours!
- is that your car?
- do not give up!
- great job!
- here is the $%%454$
- is that your slip?
- is that your domain?
- are you the naked one?
- are you the naked person!
- is that your work?
- are you the one?
- does it belong to you?
- do you have sex in the picture?

(이하 생략…)

첨부 파일 : 첨부 파일은 ZIP 또는 EXE형태로 존재할 수 있으며, 다음의 파일명에서 선택되어 진다.(첨부 파일의 사이즈는 보통 25,352 바이트이지만, 여러 바이트씩  파일 사이즈는 차이가 생길 수 있다.)

id
product
class_photos
ps
ranking
regards
website
more
regid
release
response
schock
secrets
sexual
shower
story
stuff
swimmingpool
tear
textfile
topseller
trash
undefinied
unfolds
friend
update

(이하 생략..)

*참고 사항 : 첨부 파일명이 결정된 후 이중 확장명 또는 싱글 확장명으로 확장자가 붙어 파일명이 완성된다.

*첫번째 확장 명 :

- .doc
- .htm
- .rtf
- .text

*마지막 확장 명 :

- .com
- .exe
- .pif
- .scr

나머지 확산 방법은 네트워크로 연결된 드라이브나 P2P 파일 공유 프로그램을 이용한 확산인데, 다음과 같은 이름으로 웜을 해당 공유 폴더에 복사해 넣으면서 확산 시킨다.

- 1000 Sex and more.rtf.exe
- 3D Studio Max 3dsmax.exe
- ACDSee 9.exe
- Adobe Photoshop 9 full.exe
- Adobe Premiere 9.exe
- Ahead Nero 7.exe
- Best Matrix Screensaver.scr
- Clone DVD 5.exe
- Cracks & Warez Archive.exe
- Dark Angels.pif
- Dictionary English - France.doc.exe
- DivX 7.0 final.exe
- Doom 3 Beta.exe
- E-Book Archive.rtf.exe
- Full album.mp3.pif
- Gimp 1.5 Full with Key.exe
- How to hack.doc.exe
- IE58.1 full setup.exe
- Keygen 4 all appz.exe
- Learn Programming.doc.exe
- Lightwave SE Update.exe
- MS Service Pack 5.exe
- Magix Video Deluxe 4.exe
- Microsoft Office 2003 Crack.exe
- Microsoft WinXP Crack.exe
- Norton Antivirus 2004.exe
- Opera.exe
- Partitionsmagic 9.0.exe
- Porno Screensaver.scr
- RFC Basics Full Edition.doc.exe
- Screensaver.scr
- Serials.txt.exe
- Smashing the stack.rtf.exe
- Star Office 8.exe
- Teen Porn 16.jpg.pif
- The Sims 3 crack.exe
- Ulead Keygen.exe
- Virii Sourcecode.scr
- Visual Studio Net Crack.exe
- Win Longhorn Beta.exe
- WinAmp 12 full.exe
- WinXP eBook.doc.exe
- Windows Sourcecode.doc.exe
- XXX hardcore pic.jpg.exe

[감염 후 증상]

1. 실행되면 윈도우 폴더에 “winlogon.exe”라는 파일명으로 웜을 복사해 넣는다.

2. 다음의 레지스트리에 윈도우 폴더에 복사된 웜을 등록시켜 재 부팅시 자동으로 실행되도록 한다.

- HKEY_LOCAL_MACHINE\
     SOFTWARE\
       Microsoft\
         Windows\
           CurrentVersion\
             Run\

이   름 : ICQ Net
데이터 : (윈도우 폴더)\WINLOGON.EXE –stealth

3.다음의 레지스트리를 삭제하는 증상이 있는 이 레지스트리 값들은 모두 이미 알려진 웜이 등록해 놓은 레지스트리 값들이다.

- Sentry
- OLE
- Service
- Au.exe
- D3dupdate.exe
- DELETE ME
- Msgsvr32

4. 감염된 상태로 시스템 날짜가 2월 26일 오전 6시에 9시 사이가 되면, 랜덤한 비프음을 낸다.

5.다음의 IP주소로 DNS 쿼리를 보내기 때문에 네트워크 트래픽이 증가할 수 있다.

- 145.253.2.171
- 151.189.13.35
- 193.141.40.42
- 193.189.244.205
- 193.193.144.12
- 193.193.158.10
- 194.25.2.129
- 194.25.2.130
- 194.25.2.131
- 194.25.2.132
- 194.25.2.133
- 194.25.2.134
- 195.185.185.195
- 195.20.224.234
- 212.185.252.136
- 212.185.252.73
- 212.185.253.70
- 212.44.160.8
- 212.7.128.162
- 212.7.128.165
- 213.191.74.19
- 217.5.97.137
- 62.155.255.16