|
볼랜드포럼 유저분들, Netsky웜이 확산되고 있습니다.
Neetsky.D웜은, 첨부파일이 만약 ZIP일 경우에는 필터링도 되지 않습니다. 왜냐하면 ZIP파일은 압축할때 암호를 걸어서 그렇습니다.
시만텍에서 오늘 위협등급을 2등급 -> 4등급으로 올렸습니다. 매우 조심조심, 조심해주세요.
보통 야후코리에 웹메일을 쓰면 어지간한 메일은 필터링되는데, Netsky.D는 필터링도 되지 않습니다. 그리고 Netsky.D웜은 pex로 압축되어 나오는데, 파일의 크기가 일정하지가 않습니다. 파일의 끝부분에 쓰레기 값이 추가 되어서 그렇습니다.
집에 사용하시는 안티바이러스 프로그램을 최신버젼으로 업데이트 해주시고요(실제로 어제 3월 1일에 에브리존을 제외한 모든 안티바이러스가 업데이트 되었습니다.) 각 업체에서 제공하는 웜 정보를 참고하주세요.
아래는 하우리에서 제공하는 Netsky.D웜의 정보입니다.
==========================================================================================
[요 약]
E메일로 확산되는 인터넷 웜으로 분류되며, 2004년 3월 1일부터 외국에서 확산되기 시작했으며, 국내에도 3월 1일 오후부터 ㈜하우리 바이러스 신고센터로 감염 메일이 접수되기 시작 했다
감염되면, 몇가지 알려진 웜이 기록한 레지스트리를 삭제하기도 하며, 하드 코딩된 DNS 서버로 쿼리를 보내기도 한다.
[확산 방법]
자체 내장된 SMTP 엔진을 이용하여 e메일로 확산되며, 메일의 제목과 본문, 첨부 파일은 다음과 같다.
메일 제목 : (아래의 리스트에서 랜덤하게 선택된다.)
- Re: Your website
- Re: Your product
- Re: Your letter
- Re: Your archive
- Re: Your text
- Re: Your bill
- Re: Your details
- Re: My details
- Re: Word file
- Re: Excel file
- Re: Details
- Re: Approved
- Re: Your software
- Re: Your music
- Re: Here
- Re: Re: Re: Your document
- Re: Hello
- Re: Hi
- Re: Re: Message
- Re: Your picture
- Re: Here is the document
- Re: Your document
- Re: Thanks!
- Re: Re: Thanks!
- Re: Re: Document
- Re: Document
*메일 본문 : (아래의 리스트에서 랜덤하게 선택된다.)
- Your file is attached.
- Please read the attached file.
- Please have a look at the attached file.
- See the attached file for details.
- Here is the file.
- Your document is attached.
*첨부 파일 : (아래의 파일명 리스트에서 랜덤하게 선택된다.)
- all_document.pif
- application.pif
- document.pif
- document_4351.pif
- document_excel.pif
- document_full.pif
- document_word.pif
- message_details.pif
- message_part2.pif
- mp3music.pif
- my_details.pif
- your_archive.pif
- your_bill.pif
- your_details.pif
- your_document.pif
- your_file.pif
- your_letter.pif
- your_picture.pif
- your_product.pif
- your_text.pif
- your_website.pif
- yours.pif
[감염 후 증상]
1.웜을 실행하면 윈도우 폴더에 “WINLOGON.EXE” 파일명으로 웜을 복사해 넣는다.(윈도우 폴더는 보편적으로 C:\WINNT 또는 C:\Windows 이다.)
2.윈도우 폴더에 복사된 WINLOGON.EXE 파일을 다음의 레지스트리에 기록하여 재 부팅시 자동으로 실행되도록 한다.
- HKEY_LOCAL_MACHINE\
Software\
Microsoft\
Windows\
CurrentVersion\
Run
이 름 : ICQ Net
데이터 : (윈도우 폴더)\winlogon.exe –stealth
3.웜은 몇가지 알려진 웜이 기록해 놓은 레지스트리 값을 삭제하여 재 부팅시부터 동작하지 못하도록 만든다.
- I-Worm.Win32.Mydoom에 관련된 레지스트리
- HKEY_LOCAL_MACHINE\
Software\
Microsoft\
Windows\
CurrentVersion\
Run\
이 름 : Taskmon
이 름 : Explorer
- HKEY_CURRENT_USER\
Software\
Microsoft\
Windows\
CurrentVersion\
Run\
이 름 : Taskmon
이 름 : Explorer
- I-Worm.Win32.Mimail에 관련된 레지스트리 위치.
- HKEY_LOCAL_MACHINE\
Software\
Microsoft\
Windows\
CurrentVersion\
Run\
이 름 : KasperskyAv
- HKEY_CURRNET_USER\
Software\
Microsoft\
Windows\
CurrentVersion\
Run\
이 름 : KasperskyAv
- I-Worm.Win32.Netsky에 관련된 레지스트리
- HKEY_LOCAL_MACHINE\
Software\
Microsoft\
Windows\
CurrentVersion\
Run\
이 름 : service
4. 시스템 날짜를 확인하여 2004년 3월 2일 아침 6시에서 9시 사이에 감염되면, 비프음을 발생하기도 한다.
5. 웜은 아래의 DNS서버로 쿼리를 보낸다.
- 212.44.160.8
- 195.185.185.195
- 151.189.13.35
- 213.191.74.19
- 193.189.244.205
- 145.253.2.171
- 193.141.40.42
- 194.25.2.134
- 194.25.2.133
- 194.25.2.132
- 194.25.2.131
- 193.193.158.10
- 212.7.128.165
- 212.7.128.162
- 193.193.144.12
- 217.5.97.137
- 195.20.224.234
- 194.25.2.130
- 194.25.2.129
- 212.185.252.136
- 212.185.253.70
- 212.185.252.73
- 62.155.255.16
*최초 작성 : 2004년 3월 1일 오후 8시 36분 HAURI Inc.
*마지막 수정 : 2004년 3월 1일 오후 10시 10분 HAURI Inc.
|
