I-Worm.Win32.Colevo.188928

E-메일로 확산되는 인터넷 웜으로 분류되며, 2003년 6월 28일 외국에서 발견되었고,국내에도 2003년 7월 2일 발견 보고되었다. [확산 방법] Microsoft MSN 메신저에 등록된 사람의 메일 주소를 추출하여 다음과 같은 메일을 자동으로 보내면서 확산시키며, 메일을 보낼때는 웜 내부에 하드 코드된 SMTP서버를 이용한다. *메일 제목 : El adelanto de matrix ta gueno *메일 본문 : Oye te ? paso el programa para entrar a cuentas del messenger Z y facilingo te lo paso a voz nomas, prometeme que no se lo pasas a nadie, ya? u Respondeme que tal te parecio. Chau !! *첨부 파일 : hotmailpass.exe (참고 사항 : 메일 제목과,내용은 변경될 수 있으나, 첨부 파일명은 동일하다.) [생성 파일] E-메일로 전달된 첨부 파일(웜 파일)을 실행시키면, 다음의 경로에 웜의 복사본을 다양한 이름으로 생성시킨다. - C:\Windows\command.exe - C:\Windows\system.exe - C:\Windows\Hot Girl.scr - C:\Windows\All Users.exe - C:\Windows\Inf.exe - C:\Windows\Temp.exe - C:\Windows\Internet download.exe - C:\Windows\Shell.exe - C:\Windows\System32.exe - C:\Windows\System64.pif - C:\Windows\Internet File.exe - C:\Windows\Part Hard Disk.exe - C:\Windows\hotmailpass.exe - C:\Windows\SYSTEM32\command.com - C:\Windows\SYSTEM32\net.com - C:\Windows\SYSTEM32\www.microsoft.com - C:\Windows\SYSTEM32\Inf.exe - C:Windows\All User\Server.exe - C:\Windows\menu inicio\programas\inicio\www.microsoft.com - C:\Recycled\Evo Morales.scr [감염 후 증상] 1.감염된 상태로 파일 확장자가 ".EXE, .COM, .BAT, .PIF, .HTA"인 파일을 실행하면, 웜이 실행되는데, 이는 다음의 레지스트리를 수정하여 가능하게 만든다. - HKEY_CLASSES_ROOT\exefile\shell\open\command 이름 : 기본값(Default) = ""C:\Windows\command.exe", "%1" %*" - HKEY_CLASSES_ROOT\comfile\shell\open\command 이름 : 기본값(Default) = “"C:\Windows\Inf.exe", "%1" %*" - HKEY_CLASSES_ROOT\batfile\shell\open\command 이름 : 기본값(Default) = ""C:\Windows\temp.exe", "%1" %*" - HKEY_CLASSES_ROOT\piffile\shell\open\command 이름 : 기본값(Default) = “"C:\Windows\commands.com", "%1" %*" - HKEY_CLASSES_ROOT\htafile\Shell\Open\Command 이름 : 기본값(Default) = ""C:\Windows\commands.com", "%1" %*" - HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\ shell\open\command 이름 : 기본값(Default) = ""C:\Windows\command.exe", "%1" %*" - HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\ shell\open\command 이름 : 기본값(Default) = ""C:\Windows\Inf.exe", "%1" %*" - HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\ shell\open\command 이름 : 기본값(Default) = ""C:\Windows\temp.exe", "%1" %*" - HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\ shell\open\command 이름 : 기본값(Default) = ""C:\Windows\commands.com", "%1" %*" - HKEY_LOCAL_MACHINE\Software\CLASSES\htafile\ Shell\Open\Command 이름 : 기본값(Default) = ""C:\Windows\commands.com", "%1" %*" 2.웹 브라우져를 통하여 다음의 사이트를 오픈시켜 JPG(그림 파일)을 나타나게 한다. - <a href="http://jeremybigwood.net/Bolivia/images/Bolivia.Sept.2K.000.jpg" target=nlink>http://jeremybigwood.net/Bolivia/images/Bolivia.Sept.2K.000.jpg</a> - <a href="http://news.bbc.co.uk/olmedia/775000/images/_778100_morales150.jpg" target=nlink>http://news.bbc.co.uk/olmedia/775000/images/_778100_morales150.jpg</a> - <a href="http://www.commondreams.org/headlines/images/100700-01.jpg" target=nlink>http://www.commondreams.org/headlines/images/100700-01.jpg</a> - <a href="http://www-ni.laprensa.com.ni/archivo/2002/julio/09/elmundo/elmundo-20020709-01.jpg" target=nlink>http://www-ni.laprensa.com.ni/archivo/2002/julio/09/elmundo/elmundo-20020709-01.jpg</a> - <a href="http://www.soc.uu.se/mapuche/indgen/puntofinal020822.jpg" target=nlink>http://www.soc.uu.se/mapuche/indgen/puntofinal020822.jpg</a> - <a href="http://www.cannabisculture.com/library/images/uploads/2409-Evo-morales-speaking.jpg" target=nlink>http://www.cannabisculture.com/library/images/uploads/2409-Evo-morales-speaking.jpg</a> - <a href="http://www.chilevive.cl/news/img/evom.jpg" target=nlink>http://www.chilevive.cl/news/img/evom.jpg</a> - <a href="http://membres.lycos.fr/asocamerlat/evo%20morales_bolivia2.gif" target=nlink>http://membres.lycos.fr/asocamerlat/evo%20morales_bolivia2.gif</a> - <a href="http://news.bbc.co.uk/media/images/38128000/jpg/_38128025_020710bolivia300b.jpg" target=nlink>http://news.bbc.co.uk/media/images/38128000/jpg/_38128025_020710bolivia300b.jpg</a> - <a href="http://www.movimientos.org/noalca/noticias/fotos/AB_0_039.jpg" target=nlink>http://www.movimientos.org/noalca/noticias/fotos/AB_0_039.jpg</a> 3.윈도우 시작시마다 자동으로 실행시키기 위해서 레지스트리/WIN.INI/SYSTEM.INI 파일을 수정한다. *레지스트리 : - HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 이 름 : System 데이터 : C:\Windows\system.exe - HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\1\2\3\4 이 름 : System 데이터 : C:\Windows\temp.exe - HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunSevices 이 름 : System 데이터 : C:\Windows\commands.com - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 이 름 : System 데이터 : C:\Windows\system.exe - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunSevices 이 름 : System 데이터 : C:\Windows\system.exe - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\1\2\3\4 이 름 : System 데이터 : C:\Windows\system.exe - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunSevicesOnce 이 름 : System 데이터 : C:\Windows\temp.exe *WIN.INI : 다음과 같이 [windows]섹션에 load와 run 라인에 웜을 추가한다. load=archivo.exe run=archivo.exe 그리고, 다음의 문자열을 추가한다. ####Viva el EVO, y jamas erradicaran la Coca Cola!!! (...이하생략) ### *SYSTEM.INI : [boot]섹션에 다음의 값을 추가시킨다. Shell=explorer.exe temp.exe 4.웜은 2536 포트를 오픈시켜두는데, 이 포트를 통하여 외부에서 액세스 가능할 수 도 있다.