커피닉스, 시스템 엔지니어의 쉼터 :: 주제 보기 - 메일과 네트웍공유로 전파되는 WORM

커피향이 나는 *NIX
커피닉스
시스템/네트웍/보안을 다루는 곳

FAQ

검색

멤버리스트

사용자 그룹

사용자 등록하기

개인 정보

비공개 메시지를 확인하려면 로그인하십시오

로그인

가입없이 누구나 글을 쓸 수 있습니다. 공지사항에 대한 댓글까지도..

BBS >> 설치, 운영 Q&A | 네트웍, 보안 Q&A | 일반 Q&A || 정보마당 | AWS || 자유게시판 | 구인구직 || 공지사항 | 의견제시

메일과 네트웍공유로 전파되는 WORM_NETSKY.B 웜

커피닉스, 시스템 엔지니어의 쉼터 게시판 인덱스 -> *NIX / IT 정보

이전 주제 보기 :: 다음 주제 보기

글쓴이

메시지

truefeel
카페 관리자

가입: 2003년 7월 24일
올린 글: 1277
위치: 대한민국

올려짐: 2004.2.19 목, 10:28 pm 주제: 메일과 네트웍공유로 전파되는 WORM_NETSKY.B 웜

혹 NETSKY.B 웜을 여러 번 받는다면 저에게 포워딩해주세요. ^^ procmail을 통한 필터링 설정을 위해서입니다.
뭐~ 제목으로 필터링하면 간단히 되기는 하겠지만, 보다 정확한 방법으로 범위를 좁히려고 하거든요.

--------------------------------------------------------------------------------------------------
출처 : secinfo 메일링리스트

인용:

From cert_at_certcc.or.kr Thu Feb 19 09:54:02 2004
Date: Thu, 19 Feb 2004 09:41:16 +0900
Subject: WORM_NETSKY.B

안녕하십니까?
한국정보보호진흥원의 CERTCC-KR 입니다.

현재등급으로 발령되었음을 알려드립니다.

==============================================================
VN2004048: WORM_NETSKY.B
---------------------------------------------------------------

☆ 개요

WORM__NETSKY.B 는 메일과 네트위크 공유 폴더를 통해 전파된다. 2월18일 국외에서 처음 발견되었으며 현재, 국내에서도 여러건의 감염 보고가 있다. 윔에 감염되면 윈도우 폴더에 SERVICE.EXE 파일이 만들어진다. 특히 전파를 위해 대량의 메일을 발송하므로 주의가 요구된다.

☆ 전파방법

o 메일을 이용한 전파, 네트워크 공유 폴더를 통해 전파된다.
보 낸 이 : <감염된 시스템에서 찾은 메일 주소에서 임의로 추출>
- .msg
- .oft
- .sht
- .dbx
-. tbb
- .adb
- .doc
- .wab
- .asp
- .uin
- .rtf
- .vbs
- .html
- .htm
- .pl
- .php
- .txt
- .eml

제 목 : <아래 제목 중에서 선택>
- hi
- hello
- read it immediately
- something for you
- warning
- information
- stolen
- fake
- unknown

본 문 : <아래의 본문 중에서 선택되거나, 임의로 변경될 수 있다.>
- anything ok?
- what does it mean?
- ok
- i am waiting
- read the details.
- here is the document.
- read it immediately!
-my hero
- here
- is that true?
- is that your name?
- is that your account?
- i wait for a reply!
- is that from you?
- you are a bad writer
- I have your password!
- something about you!
- kill the writer of this document!
- i hope it is not true!
- your name is wrong
- i found this document about you
- yes really?
- that is bad
- here it is
- see you
- greetings
- stuff about you?
- something is going wrong!
- information about you
- about me
- from the chatter
- here, the serials
- here, the introduction
- here, the cheats
- thats funny
- do you?
- reply
- take it easy
- why?
- thats wrong
- misc
- you earn money
- you feel the same
- you try to steal
- you are bad
- something is going wrong
- something is fool

첨부파일명 : 아래의 파일명에서 선택된다.
- party
- disco
- part2
- mail2
- object
- ranking
- dinner
- release
- final
- location
- jokes
- friend
- website
- mails
- story
- found
- nomoney
- aboutyou
- shower
- topseller
- product
- swimmingpool
- concert
- textfile
- posting
- stuff
- attachment
- details
- creditcard
- message
- document

확장명 : 확장명1, 확장명2 의 형태로 구성되며, 확장명 1, 2 는 다음과 같다.
확장명 1.
- .doc
- .htm
- .rtf
- .text

확장명 2.
- .exe
- .scr
- .com
- .pif
ex) message.txt.exe, document.htm.scr
네트위크로 공유된 폴더에 웜 파일을 복사해 전파 되며, 다른 사용자가 파일 이름에 현혹되어 웜 파일을 실행하면 감염된다.

첨부파일명 : 아래의 파일명에서 선택된다.
- doom2.doc.pif
- sex sex sex sex.doc.exe
- rfc compilation.doc.exe
- dictionary.doc.exe
- win longhorn.doc.exe
- e.book.doc.exe
- programming basics.doc.exe
- how to hack.doc.exe
- max payne 2.crack.exe
- e-book.archive.doc.exe
- virii.scr
- nero.7.exe
- eminem - lick my pussy.mp3.pif
- cool screensaver.scr
- serial.txt.exe
- office_crack.exe
- hardcore porn.jpg.exe
- angels.pif
- porno.scr
- matrix.scr
- photoshop 9 crack.exe
- strippoker.exe
- dolly_buster.jpg.pif
- winxp_crack.exe

☆ 피해증상

o 웜이 실행되면 윈도우즈 폴더에 services.exe 로 자신을 복사한다.
※ 윈도우즈 폴더
· Windows 2000/NT : C:WINNT
· Windows XP/95/98/ME : C:Windows

※ 윈도우즈 시스템 폴더에 있는 service.exe 는 정상파일이므로 혼동해서는 않된다.
· Windows 2000/NT : C:WINNTSystem32
· Windows XP : C:WindowsSystem32
· Windows 95/98/ME : C:WindowsSystem

o 재부팅 시에도 웜이 동작하기 위해 다음의 내용이 레지스트리에 추가된다.
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRun service = C:WINNTservices.exe -serv

o 감염시 다음에 내용이 레지스트리에서 삭제된다.

- HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRun Taskmon

- HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRun Explorer

- HKEY_CURRENT_USERSOFTWAREMicrosoftWindows
CurrentVersionRun Taskmon

- HKEY_CURRENT_USERSOFTWAREMicrosoftWindows
CurrentVersionRun Explorer

- HKEY_CLASSES_ROOTCLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED}
InProcServer32

☆ 감염시 치료방법

o 수동치료방법
- 아래의 레지스트리 키 값을 삭제한다.

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
service = %Windir%services.exe -serv

o 백신프로그램을 최신버전으로 업데이트한 다음 검사하여 치료한다.

☆ 예방법

출처가 불분명한 메일일 경우 읽지 말고 삭제하여야 웜 감염을 막을 수 있다.

☆ 참조사이트

하우리: http://hauri.co.kr/virus/virusinfo/virusinfo_read.html?code=IWW3000476
안철수연구소: http://info.ahnlab.com/smart2u/virus_detail_1319.html
시만텍: http://securityresponse.symantec.com/avcenter/venc/data/w32.netsky.b@mm.html
맥아피: http://vil.nai.com/vil/content/v_101034.htm
트랜드마이크로: http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_NETSKY.B

위로

이전 글 표시:

	커피닉스, 시스템 엔지니어의 쉼터 게시판 인덱스 -> *NIX / IT 정보	시간대: GMT + 9 시간(한국)
페이지 1 중 1

새로운 주제를 올릴 수 있습니다
답글을 올릴 수 있습니다
주제를 수정할 수 없습니다
올린 글을 삭제할 수 없습니다
투표를 할 수 없습니다