바이러스 긴급경보-베이글, 넷스카이
페이지 정보
글씨크기
본문
I-Worm.Win32.Bagle(베이글) 변형과 I-Worm.Win32.Netsky(넷스카이) 변형이 지속적으로 제작/확산되어 국내에도 피해가 발생하고 있습니다. 영문으로된 메일은 가급적 읽어보지 마시고, 다음의 변형 정보를 확인하시어 감염 피해가 없도록 주의하시기 바랍니다.
■ I-Worm.Win32.Bagle.15872.B
[요 약]
2004년 2월 27일 외국에서 발견되었으며, 국내에는 2004년 2월 28일 유입되어 급속도로 확산되고 있다.
웜은 E메일로 확산되며, 실행시 메모장(Notepad.exe)이 실행되며, TCP/2745 포트가 오픈된다.
[감염 방법]
웜은 메일로 확산되며, 감염 대상은 다음의 확장명을 지닌 파일에서 추출한다.
WAB, TXT, HTM, HTML, DBX, MDX, EML, NCH, MMF, ODS, CFG, ASP, PHP, PL, ADB, SHT
추출된 메일 주소를 이용하여 아래와 같은 메일 제목과 첨부 파일로 메일을 대량으로 보내면서 확산 시킨다.
제목 : (아래의 제목 리스트에서 선택된다.)
- Accounts department
- Ahtung!
- Camila
- Daily activity report
- Flayers among us
- Freedom for everyone
- From Hair-cutter
- From me
- Greet the day
- Hardware devices price-list
- Hello my friend
- Jenny
- Jessica
- Looking for the report
- Maria
- Melissa
- Monthly incomings summary
- New Price-list
- Price
- Price list
- Price-list
- Pricelist
- Proclivity to servitude
- Registration confirmation
- The account
- The employee
- The summary
- USA government abolishes the capital punishment
- Weekly activity report
- Well...
- You are dismissed
- You really love me? he he
첨부 파일 : 파일명은 일정하지 않으며, 확장명이 ZIP인 형태로 확산된다.
[감염 후 증상]
1.웜을 실행하면 메모장(Notepad.exe)가 나타나면서, 윈도우 시스템 폴더에 다음의 파일을 생성시킨다.(윈도우 시스템 폴더는 가변적이지만, 일반적으로 C:\WINNT\System32, C:\Windows\System이 시스템 폴더이다.)
- doc.exe (1,536 바이트) : 트로이 목마 파일
- onde.exe(18,944 바이트) : 메일 발송 컴포넌트
- readme.exe(15,872 바이트) : 웜 본체
2.백도어 기능을 지니고 있는데, 감염된 시스템 TCP/2745 포트를 오픈하여 외부로부터 접속 할 수 있도록 한다.
3.다음의 레지스트리에 추가되어, 재 부팅시 자동으로 실행 되도록 한다.
- HKEY_CURRNET\USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
이 름 : gouday.exe
데이터 : (윈도우 시스템 폴더)\readme.exe
[기 타]
웜은 다음의 도메인을 포함하고 있는 주소로는 메일을 발송하지 않는다.
- @hotmail.com
- @msn.com
- @microsoft
- @avp.
■ I-Worm.Win32.Netsky.17424
[요 약]
E메일로 확산되는 인터넷 웜으로 분류되며, 2004년 3월 1일부터 외국에서 확산되기 시작했으며, 국내에도 3월 1일 오후부터 ㈜하우리 바이러스 신고센터로 감염 메일이 접수되기 시작 했다
감염되면, 몇가지 알려진 웜이 기록한 레지스트리를 삭제하기도 하며, 하드 코딩된 DNS 서버로 쿼리를 보내기도 한다.
[확산 방법]
자체 내장된 SMTP 엔진을 이용하여 e메일로 확산되며, 메일의 제목과 본문, 첨부 파일은 다음과 같다.
메일 제목 : (아래의 리스트에서 랜덤하게 선택된다.)
- Re: Your website
- Re: Your product
- Re: Your letter
- Re: Your archive
- Re: Your text
- Re: Your bill
- Re: Your details
- Re: My details
- Re: Word file
- Re: Excel file
- Re: Details
- Re: Approved
- Re: Your software
- Re: Your music
- Re: Here
- Re: Re: Re: Your document
- Re: Hello
- Re: Hi
- Re: Re: Message
- Re: Your picture
- Re: Here is the document
- Re: Your document
- Re: Thanks!
- Re: Re: Thanks!
- Re: Re: Document
- Re: Document
*메일 본문 : (아래의 리스트에서 랜덤하게 선택된다.)
- Your file is attached.
- Please read the attached file.
- Please have a look at the attached file.
- See the attached file for details.
- Here is the file.
- Your document is attached.
*첨부 파일 : (아래의 파일명 리스트에서 랜덤하게 선택된다.)
- all_document.pif
- application.pif
- document.pif
- document_4351.pif
- document_excel.pif
- document_full.pif
- document_word.pif
- message_details.pif
- message_part2.pif
- mp3music.pif
- my_details.pif
- your_archive.pif
- your_bill.pif
- your_details.pif
- your_document.pif
- your_file.pif
- your_letter.pif
- your_picture.pif
- your_product.pif
- your_text.pif
- your_website.pif
- yours.pif
[감염 후 증상]
1.웜을 실행하면 윈도우 폴더에 “WINLOGON.EXE” 파일명으로 웜을 복사해 넣는다.(윈도우 폴더는 보편적으로 C:\WINNT 또는 C:\Windows 이다.)
2.윈도우 폴더에 복사된 WINLOGON.EXE 파일을 다음의 레지스트리에 기록하여 재 부팅시 자동으로 실행되도록 한다.
- HKEY_LOCAL_MACHINE\
Software\
Microsoft\
Windows\
CurrentVersion\
Run
이 름 : ICQ Net
데이터 : (윈도우 폴더)\winlogon.exe –stealth
3.웜은 몇가지 알려진 웜이 기록해 놓은 레지스트리 값을 삭제하여 재 부팅시부터 동작하지 못하도록 만든다.
- I-Worm.Win32.Mydoom에 관련된 레지스트리
- HKEY_LOCAL_MACHINE\
Software\
Microsoft\
Windows\
CurrentVersion\
Run\
이 름 : Taskmon
이 름 : Explorer
- HKEY_CURRENT_USER\
Software\
Microsoft\
Windows\
CurrentVersion\
Run\
이 름 : Taskmon
이 름 : Explorer
- I-Worm.Win32.Mimail에 관련된 레지스트리 위치.
- HKEY_LOCAL_MACHINE\
Software\
Microsoft\
Windows\
CurrentVersion\
Run\
이 름 : KasperskyAv
- HKEY_CURRNET_USER\
Software\
Microsoft\
Windows\
CurrentVersion\
Run\
이 름 : KasperskyAv
- I-Worm.Win32.Netsky에 관련된 레지스트리
- HKEY_LOCAL_MACHINE\
Software\
Microsoft\
Windows\
CurrentVersion\
Run\
이 름 : service
4. 시스템 날짜를 확인하여 2004년 3월 2일 아침 6시에서 9시 사이에 감염되면, 비프음을 발생하기도 한다.
5. 웜은 아래의 DNS서버로 쿼리를 보낸다.
- 212.44.160.8
- 195.185.185.195
- 151.189.13.35
- 213.191.74.19
- 193.189.244.205
- 145.253.2.171
- 193.141.40.42
- 194.25.2.134
- 194.25.2.133
- 194.25.2.132
- 194.25.2.131
- 193.193.158.10
- 212.7.128.165
- 212.7.128.162
- 193.193.144.12
- 217.5.97.137
- 195.20.224.234
- 194.25.2.130
- 194.25.2.129
- 212.185.252.136
- 212.185.253.70
- 212.185.252.73
- 62.155.255.16
출처 : 하우리 http://www.hauri.co.kr/
■ I-Worm.Win32.Bagle.15872.B
[요 약]
2004년 2월 27일 외국에서 발견되었으며, 국내에는 2004년 2월 28일 유입되어 급속도로 확산되고 있다.
웜은 E메일로 확산되며, 실행시 메모장(Notepad.exe)이 실행되며, TCP/2745 포트가 오픈된다.
[감염 방법]
웜은 메일로 확산되며, 감염 대상은 다음의 확장명을 지닌 파일에서 추출한다.
WAB, TXT, HTM, HTML, DBX, MDX, EML, NCH, MMF, ODS, CFG, ASP, PHP, PL, ADB, SHT
추출된 메일 주소를 이용하여 아래와 같은 메일 제목과 첨부 파일로 메일을 대량으로 보내면서 확산 시킨다.
제목 : (아래의 제목 리스트에서 선택된다.)
- Accounts department
- Ahtung!
- Camila
- Daily activity report
- Flayers among us
- Freedom for everyone
- From Hair-cutter
- From me
- Greet the day
- Hardware devices price-list
- Hello my friend
- Jenny
- Jessica
- Looking for the report
- Maria
- Melissa
- Monthly incomings summary
- New Price-list
- Price
- Price list
- Price-list
- Pricelist
- Proclivity to servitude
- Registration confirmation
- The account
- The employee
- The summary
- USA government abolishes the capital punishment
- Weekly activity report
- Well...
- You are dismissed
- You really love me? he he
첨부 파일 : 파일명은 일정하지 않으며, 확장명이 ZIP인 형태로 확산된다.
[감염 후 증상]
1.웜을 실행하면 메모장(Notepad.exe)가 나타나면서, 윈도우 시스템 폴더에 다음의 파일을 생성시킨다.(윈도우 시스템 폴더는 가변적이지만, 일반적으로 C:\WINNT\System32, C:\Windows\System이 시스템 폴더이다.)
- doc.exe (1,536 바이트) : 트로이 목마 파일
- onde.exe(18,944 바이트) : 메일 발송 컴포넌트
- readme.exe(15,872 바이트) : 웜 본체
2.백도어 기능을 지니고 있는데, 감염된 시스템 TCP/2745 포트를 오픈하여 외부로부터 접속 할 수 있도록 한다.
3.다음의 레지스트리에 추가되어, 재 부팅시 자동으로 실행 되도록 한다.
- HKEY_CURRNET\USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
이 름 : gouday.exe
데이터 : (윈도우 시스템 폴더)\readme.exe
[기 타]
웜은 다음의 도메인을 포함하고 있는 주소로는 메일을 발송하지 않는다.
- @hotmail.com
- @msn.com
- @microsoft
- @avp.
■ I-Worm.Win32.Netsky.17424
[요 약]
E메일로 확산되는 인터넷 웜으로 분류되며, 2004년 3월 1일부터 외국에서 확산되기 시작했으며, 국내에도 3월 1일 오후부터 ㈜하우리 바이러스 신고센터로 감염 메일이 접수되기 시작 했다
감염되면, 몇가지 알려진 웜이 기록한 레지스트리를 삭제하기도 하며, 하드 코딩된 DNS 서버로 쿼리를 보내기도 한다.
[확산 방법]
자체 내장된 SMTP 엔진을 이용하여 e메일로 확산되며, 메일의 제목과 본문, 첨부 파일은 다음과 같다.
메일 제목 : (아래의 리스트에서 랜덤하게 선택된다.)
- Re: Your website
- Re: Your product
- Re: Your letter
- Re: Your archive
- Re: Your text
- Re: Your bill
- Re: Your details
- Re: My details
- Re: Word file
- Re: Excel file
- Re: Details
- Re: Approved
- Re: Your software
- Re: Your music
- Re: Here
- Re: Re: Re: Your document
- Re: Hello
- Re: Hi
- Re: Re: Message
- Re: Your picture
- Re: Here is the document
- Re: Your document
- Re: Thanks!
- Re: Re: Thanks!
- Re: Re: Document
- Re: Document
*메일 본문 : (아래의 리스트에서 랜덤하게 선택된다.)
- Your file is attached.
- Please read the attached file.
- Please have a look at the attached file.
- See the attached file for details.
- Here is the file.
- Your document is attached.
*첨부 파일 : (아래의 파일명 리스트에서 랜덤하게 선택된다.)
- all_document.pif
- application.pif
- document.pif
- document_4351.pif
- document_excel.pif
- document_full.pif
- document_word.pif
- message_details.pif
- message_part2.pif
- mp3music.pif
- my_details.pif
- your_archive.pif
- your_bill.pif
- your_details.pif
- your_document.pif
- your_file.pif
- your_letter.pif
- your_picture.pif
- your_product.pif
- your_text.pif
- your_website.pif
- yours.pif
[감염 후 증상]
1.웜을 실행하면 윈도우 폴더에 “WINLOGON.EXE” 파일명으로 웜을 복사해 넣는다.(윈도우 폴더는 보편적으로 C:\WINNT 또는 C:\Windows 이다.)
2.윈도우 폴더에 복사된 WINLOGON.EXE 파일을 다음의 레지스트리에 기록하여 재 부팅시 자동으로 실행되도록 한다.
- HKEY_LOCAL_MACHINE\
Software\
Microsoft\
Windows\
CurrentVersion\
Run
이 름 : ICQ Net
데이터 : (윈도우 폴더)\winlogon.exe –stealth
3.웜은 몇가지 알려진 웜이 기록해 놓은 레지스트리 값을 삭제하여 재 부팅시부터 동작하지 못하도록 만든다.
- I-Worm.Win32.Mydoom에 관련된 레지스트리
- HKEY_LOCAL_MACHINE\
Software\
Microsoft\
Windows\
CurrentVersion\
Run\
이 름 : Taskmon
이 름 : Explorer
- HKEY_CURRENT_USER\
Software\
Microsoft\
Windows\
CurrentVersion\
Run\
이 름 : Taskmon
이 름 : Explorer
- I-Worm.Win32.Mimail에 관련된 레지스트리 위치.
- HKEY_LOCAL_MACHINE\
Software\
Microsoft\
Windows\
CurrentVersion\
Run\
이 름 : KasperskyAv
- HKEY_CURRNET_USER\
Software\
Microsoft\
Windows\
CurrentVersion\
Run\
이 름 : KasperskyAv
- I-Worm.Win32.Netsky에 관련된 레지스트리
- HKEY_LOCAL_MACHINE\
Software\
Microsoft\
Windows\
CurrentVersion\
Run\
이 름 : service
4. 시스템 날짜를 확인하여 2004년 3월 2일 아침 6시에서 9시 사이에 감염되면, 비프음을 발생하기도 한다.
5. 웜은 아래의 DNS서버로 쿼리를 보낸다.
- 212.44.160.8
- 195.185.185.195
- 151.189.13.35
- 213.191.74.19
- 193.189.244.205
- 145.253.2.171
- 193.141.40.42
- 194.25.2.134
- 194.25.2.133
- 194.25.2.132
- 194.25.2.131
- 193.193.158.10
- 212.7.128.165
- 212.7.128.162
- 193.193.144.12
- 217.5.97.137
- 195.20.224.234
- 194.25.2.130
- 194.25.2.129
- 212.185.252.136
- 212.185.253.70
- 212.185.252.73
- 62.155.255.16
출처 : 하우리 http://www.hauri.co.kr/
- 이전글위성 Hope Channel 시청 안내 04.03.24
- 다음글2004, 새봄, 새단장 - 4월 6일 새옷으로 갈아입습니다 04.03.17
댓글목록
등록된 댓글이 없습니다.