(주)에브리존 :: 바이러스 · 악성코드 없는 세상

보안IT뉴스

보안권고문

보안Tip

보안처방

보안위협DB 찾기

보안위협DB찾기

목록 |

윗글 |

아랫글

W32/Mydoom.18200@mm

바이러스 종류

Worm

실행환경

Windows

발견일

2004년09월09일

제작지

불분명

위험등급

확산방법

바이러스 크기

18,200 bytes

첨부파일

pic.exe 외 다수

메일제목

hello 외 다수

증상요약

치료방법

터보백신Ai, 터보백신 Online, 터보백신 2001 제품군으로 치료가능.

터보백신 Ai를 사용하시고 아웃룩을 사용하신 다면 반드시 이메일 감시기를
실행하시기 바랍니다.

상세설명

이 웜은 이메일을 통하여 전파되며, 웜을 포함한 이메일은 아래와 같은 제목으로 전파된다.
(웜이 발송한 메일의 예)

웜을 포함한 이메일은 아래와 같은 내용을 가지고 있다.

[메일 제목]

Hi!
Information
News
Notice again
Private document
Re: Hello
Re: Hi
Re: Message
Re: Proof of concept
Re: Question
Re: Status
Re: Your document
Thank you!
You win!
hello
here
important
read it immediately
thanks!

[메일 내용]

내용 없음
Can you confirm it?
For more details see the attachment.
I have attached document.
Monthly news report.
New game
Please answer quickly!
Please confirm the document.
Please read the attached file.
Please read the important document.
Please see the attached file for details
See attached file for details.
See the file.
Thank you!
Thanks!
Virus removal tool
You are infected by virus. Run this exe
You win!
Your archive is attached.
Your requested mail has been attached.
apply patch.
apply this patch!
fun game!
fun photos
fun!
game
lol!
relax
screensaverlol!
thanks!
read it immediately

본문의 끝엔 다음과 같은 내용이 첨가 된다.

+++ Attachment: No Virus found

그리고 다음의 내용이 랜덤하게 첨가 된다.

+++ MessageLabs AntiVirus - www.messagelabs.com
+++ Bitdefender AntiVirus - www.bitdefender.com
+++ Norton AntiVirus - www.symantec.de
+++ F-Secure AntiVirus - www.f-secure.com
+++ Norman AntiVirus - www.norman.com
+++ Panda AntiVirus - www.pandasoftware.com
+++ Kaspersky AntiVirus - www.kaspersky.com
+++ MC-Afee AntiVirus - www.mcafee.com

[첨부파일]

antivirus.exe
bill.zip
data.zip
details.zip
doc.zip
file.exe
file.zip
fun.scr
game.exe
info.zip
information.zip
letter.zip
lol.scr
message.zip
new.exe
new.zip
patch.exe
photo.exe
pic.exe
report.zip
document.zip

[특징]

첨부파일은 exe 또는 zip, scr 형태 이며, 자체 SMTP 엔진을 이용하여 감염된 메일을 전송한다.
첨부파일이 실행되면 위도우의 시스템 폴더(win 2000, NT : c:\Winnt\system32, win XP : c:\windows\system32, win 95/98/me : c:\windows\system)에 winspf32.exe(18,200 byte) 파일을 생성한다.
또한, 다음처럼 레지스트를 수정하여 다음 부팅시 실행되도록 조작한다.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 항목에
(win9x의 경우)
WinSPF = c:\windows\system\winspf32.exe

(win2000, NT의 경우)
WinSPF = c:\winnt\system32\winspf32.exe

(WinXP의 경우)
WinSPF = c:\windows\system32\winspf32.exe

를 기록한다.
다음으로 .HTM, .HTML,, .TXT, .WAB, cgi, asp, VBS, php, msg, mht, jsp, dbx, cfg, txt 확장자를 지닌 파일에서 메일 주소를 수집하여 웜이 첨부된 메일을 발송하지만 다음 문자열이 들어간 메일로는 감염된 메일이 발송되지 않는다.

.gov
.mil
@foo.
@iana
abuse
accoun
acketst
admin
antivi
anyone
arin.
avp.
berkeley
borlan
bsd
certific
contact
example
feste
fido
fsf.
gnu
gold-certs
google
gov.
help
iana
ibm.com
icq.com
icrosof
icrosoft
ietf
info
inpris
isc.o
isi.e
kasp
kernel
linux
listserv
math
messagelabs
mit.e
mozilla
mydomai
news
nobody
nodomai
noone
noreply
nothing
ntivi
panda
pgp
postmaster
privacy
rating
rfc-ed
ripe.
root
ruslis
samples
secur
sendmail
service
site
somebody
someone
sopho
spam
submit
support
syman
tanford
unix
upport
usenet
utgers.ed
webmaster
www

또한 일부 웹주소로 부터 특정 파일을 다운로드 받는 기능도 포함되 있다.
마지막으로 시스템 날짜가 9월 19일 이후가 되면 자기 자신을 삭제 하게 된다.

예방 및 수동조치방법