[정보] Win32/MyDoom.worm. 18432.B

[권상우]

최초 입력시간 : 2004. 09. 10 17:21 (GMT+9)

최종 수정시간 : 2004. 09. 10 19:14 (GMT+9)

위험도

다른이름

I-Worm.Mydoom.v 

활동 플랫폼

윈도우

감염/설치 경로

메일

종류

웜

형태

실행파일

제작국

불분명

특정활동일

특정일 활동 없음

최초 발견일

2004-09-10 (현지시각 기준)

국내 발견일

2004-09-10 

안랩 대응정보

출저 안철수 연구소
바이러스 검사해보세요

증상 및 요약
Win32/MyDoom.worm.18432.B 는 Win32/MyDoom.worm 의 변형중에 하나이다. 실행된 웜은 윈도우 시스템 폴더에 win32s.exe 파일명으로 자신을 복사하고 윈도우 시작 폴더에는 autorun.exe 으로 복사한다. 웜은 다양한 확장자에서 메일주소를 수집하여 발송하며 특정 호스트로부터 트로이목마를 다운로드 받아 오기도 한다. 또한 특정날짜이후에는 실행되지 않고 자신을 삭제한다.
상세정보
* 확산정도 정보를 작성하는 2004년 9월 10일 17시 27분(GMT+9 기준) 현재 안철수연구소의 사전 바이러스 방역 서비스인 VBS(Virus Blocking Service)로 10건 이상 차단했다. * 전파되는 메일 형식 제목 : 다음중에서 선택된다. - FW: jenna's photos :) - FW: new photos - FW: 2 new photos - FW: hi, it's me - FW: it's me - FW: (no subject) - FW: that's me :-D - FW: my photos - FW: hello sweety :> - FW: hi - FW: remember me?.. 본문 : 다음중에서 선택되어진다. 회신된 메일형태 인 것 처럼 위장한다. -----Original Message----- From: Jeny K. Sent: Tuesday, September 7, 2004 8:57 PM To: Morpheus check my new photos :)) miss you, jeny k -----Original Message----- From: Jena K. Sent: Tuesday, September 7, 2004 5:23 AM To: friends Check Out Archive.. So.. What Do You Think... Am I Hot? :) Waining For Your Answer Jena Key -----Original Message----- From: jenny k. Sent: Tuesday, September 7, 2004 10:23 AM To: My Tiger (e-mail) new fotos(archived) you asked jenny k -----Original Message----- From: jenna k. (e-mail) Sent: Tuesday, September 7, 2004 11:38 AM To: Cat my new fotos archived )) kiss, jenna k -----Original Message----- From: Jeny Sent: Tuesday, September 7, 2004 8:57 PM To: Neo see the photos in attached archive :)) kiss you, jeny -----Original Message----- From: Jena Sent: Tuesday, September 7, 2004 5:23 AM To: friend Photos in archive.. So.. Am I Hot? :) Waining For Your Answer Jena -----Original Message----- From: Jenna Knukles Sent: Tuesday, September 7, 2004 9:05 AM To: Friends Group in self-extracting archive my photos Jenna :) -----Original Message----- From: jenna (e-mail) Sent: Tuesday, September 7, 2004 11:38 AM To: ma kittie my photos archived )) kiss, jenna -----Original Message----- From: Jeny K. Sent: Tuesday, September 7, 2004 8:57 PM To: Morpheus check out the new photos :)) miss you, jeny k -----Original Message----- From: Jena K. Sent: Tuesday, September 7, 2004 5:23 AM To: friends So.. What Do You Think... Am I Hot? :) Waining For Your Answer Jena Key -----Original Message----- From: Jenna Knukles Sent: Tuesday, September 7, 2004 9:05 AM in archive my new fotos Jenna K :) -----Original Message----- From: jenny k. Sent: Tuesday, September 7, 2004 10:23 AM To: My Tiger (e-mail) new fotos you asked jenny k -----Original Message----- From: jenna k. (e-mail) Sent: Tuesday, September 7, 2004 11:38 AM To: Cat my new fotos zipped )) kiss, jenna k -----Original Message----- From: Jeny Sent: Tuesday, September 7, 2004 8:57 PM To: Neo see the photos :)) kiss you, jeny -----Original Message----- From: Jena Sent: Tuesday, September 7, 2004 5:23 AM To: friend So.. Am I Hot? :) Waining For Your Answer Jena -----Original Message----- From: Jenna Knukles Sent: Tuesday, September 7, 2004 9:05 AM To: Friends Group in archive my photos Jenna :) -----Original Message----- From: jenny Sent: Tuesday, September 7, 2004 10:23 AM To: Mr.X (e-mail) photos you asked jenny -----Original Message----- From: jenna (e-mail) Sent: Tuesday, September 7, 2004 11:38 AM To: ma kittie my photos zipped )) kiss, jenna 그리고 메일에 첨부된 파일이 안티 바이러스 제품에 의해서 검사가 되어 안전한 것 처럼 속인다. 이 경우 다음의 메시지가 추가된다. - Norton AntiVirus - www.symantec.de - F-Secure AntiVirus - www.f-secure.com - Norman AntiVirus - www.norman.com - Panda AntiVirus - www.pandasoftware.com - Kaspersky AntiVirus - www.kaspersky.com - MC-Afee AntiVirus - www.mcafee.com - Bitdefender AntiVirus - www.bitdefender.com - MessageLabs AntiVirus - www.messagelabs.com 첨부파일명: 다음중에서 선택되어진다. - my_foto.exe - fotos.exe - foto.exe - photos.exe.safe - photo_se.exe - new_photos.exe - newphotos.exe - myphotos_arc.exe - my_photos.exe - photos_arc.exe 압축된 경우 다음중에서 선택되어진다. - new_photos.zip - images.zip - fotos.zip - my_photos.zip - myphotos.zip - photos.zip 압축된 경우 내부의 파일명은 다음과 같다. 공백이 존재한다. 예)me_01.jpg(공백) .pif 2004042301.jpg .pif with_flowers.jpg .pif sunny.jpg .pif photo08.jpg .pif nude_.jpg .pif marie_dancing.jpg .pif julia038.jpg .pif * 감염대상 및 전파방법 웜은 다음의 확장자에서 메일주소를 수집한다. - 윈도우 주소록 - 모든 파일 - wab - xls - vbs - uin - txt - tbb - stm - sht - php - msg - mht - jsp - htm - eml - dht - dbx - cgi - cfg - asp 웜은 메일 발송시 다음과 같은 도메인과 사용자계정명을 사용할 수도 있다. 다른 방법으로는 감염된 시스템에서 랜덤하게 보낸이와 받는이를 선택후 발송하게된다. - @cox.net - yahoo.com - @msn.com - @yahoo.co.uk - @t-online.de - @gmx.net - @hotmail.com - @aol.com - @mail.com - @dailymail.co.uk - Porter - Tucker - Stevens - Simpson - Webb - Wells - Freeman - Murray - Gomez - Ortiz - 하략... 다음과 같은 문자열이 포함된 메일계정으로는 웜을 발송하지 않는다. - gold-certs - feste - submit - help - service - privacy - somebody - contact - site - someone - anyone - nothing - nobody - noreply - noone - webmaster - news - rating - postmaster - samples - info - root - www - upport - abuse - accoun - certific - listserv - bsd - ntivi - admin - icq.com - mozilla - utgers.ed - tanford.e - pgp - acketst - secur - isc.o - isi.e - ripe. - arin. - sendmail - rfc-ed - ietf - iana - usenet - fido - kernel - google - ibm.com - fsf. - gnu - mit.e - math - berkeley - support - messagelabs - antivi - kasp - linux - unix - spam - @iana - @foo. - .mil - gov. - .gov - icrosoft - ruslis - nodomai - mydomai - example - inpris - borlan - sopho - panda - icrosof - syman - avp. * 실행후 증상 웜은 실행되면 윈도우 시스템 폴더에 자신을 다음과 같이 복사한다. - C:\WINNT\System32\win32s.exe : (18,432 바이트), 실행압축된 형태, 웜 본체(Mass Mailer) (윈도우 시스템 폴더는 사용 윈도우에 따라 다르며 보통 윈도우 95/98/ME는 C:\Windows\System, 윈도우 NT/2000 은 C:\WinNT\System32, 윈도우 XP는 C:\Windows\System32 폴더이다.) 그리고 다음 레지스트리에 추가되어 부팅시마다 실행되도록 해둔다. HKEY_LOCAL_MACHINE\    SOFTWARE\       Microsoft\          Windows\             CurrentVersion\                Run                   Win32System = C:\윈도우 시스템 폴더\win32s.exe 윈도우 시작 프로그램 폴더에 다음의 파일명으로 복사되기도 한다. - autorun.exe : (18,432 바이트) 그리고 다음의 호스트에 올려진 드롭퍼(Dropper)를 내려받아 실행한다. http://www.(제거됨).de/html/content/guestbook/data/(제거됨) http://(제거됨)3.58.116/(제거됨) http://(제거됨).98.94/icon/(제거됨) http://www.(제거됨).it/forumBB/(제거됨) http://www.(제거됨)/adclik/(제거됨) http://www.(제거됨).com/heyyo/wassup/(제거됨) 위 파일들의 파일명과 확장자는 모두 다르지만 동일한 파일들이다. 실행된 Dropper 는 다음 경로에 파일들을 생성한다. - C:\윈도우 시스템 폴더\iexp1orer.exe : (17,920 바이트), LSASS 취약점을 이용하여 전파되는 웜 - C:\윈도우 시스템 폴더\systemst.exe : (242,688 바이트), 은폐형 트로이목마 - C:\윈도우 시스템 폴더\dx32cxlp.exe : 상 동 - C:\Documents and Settings\All Users\시작 메뉴\프로그램\시작프로그램\dx32cxlp.exe : 상 동 - C:\윈도우 시스템 폴더\SVKP.sys : (2,368 바이트), 정상파일, Protector 관련 드라이버 파일 이중 iexp1orer.exe : (17,920 바이트) 파일은 LSASS 취약점을 이용하여 전파되는 웜이다. 웜은 다음번 부팅시에도 실행되도록 하기 위해서 다음의 레지스트리에 자신을 추가해둔다. HKEY_LOCAL_MACHINE\    SOFTWARE\       Microsoft\          Windows\             CurrentVersion\                Run                   iestart = C:\윈도우 시스템 폴더\iexp1orer.exe * 그외 증상 다음과 같은 뮤텍스를 생성하여 중복실행되지 않도록 한다. - LLLf54fxrDLLL ; = (win32s.exe) - 123Mutex321 ; = (iexp1orer.exe)
치료법
* V3Pro 2002 Deluxe / V3Pro 2004 / V3Net for Windows Server 사용자 1. 사용 제품을 실행 후 [업데이트] 버튼이나 업데이트 파일을 통해 최신 엔진 및 패치 파일로 업데이트 한다. 2. 검사할 드라이브를 지정하고 검사를 시작한다. 3. 프로세스에서 실행중인 관련 악성코드가 진단되면 안내되는 메시지의 '강제종료후 치료' 선택한다. 종료된 악성코드는 자동 치료(삭제)된다. 4. 프로세스 검사와 지정 드라이브 검사가 끝나면 치료창이 보여진다. 여기서 '전체목록치료' 버튼을 눌러 진단된 악성코드를 치료(삭제)한다. 5. 필요시 추가/변경 된 레지스트리 값은 자동수정된다. * MyV3 사용자 1. MyV3 사이트(http://clinic.ahnlab.com/clinic/myv3.html 등)에 접속해 실행한다. 만약 MyV3의 액티브 X 컨트롤이 설치되어 있지 않다면 '보안 경고'창에서 '예'를 눌러 설치한다. 2. MyV3를 최신 버전으로 업데이트 된다. 3. 검사할 드라이브를 지정하고 [검사시작] 버튼을 눌러 검사를 시작한다. 4. 프로세스에서 실행중인 관련 악성코드가 진단되면 안내되는 메시지의 '강제종료후 치료' 선택한다. 종료된 악성코드는 자동 치료(삭제)된다. 5. 프로세스 검사와 지정 드라이브 검사가 끝나면 치료창이 보여진다. 여기서 '전체목 록치료' 버튼을 눌러 진단된 악성코드를 치료(삭제)한다. 6. 필요시 추가/변경 된 레지스트리 값은 자동수정된다.
참고자료
* 이 악성코드는 감염된 시스템에서 수집한 메일 주소 중 하나를 임의로 선택해 발신 인(보낸이)으로 메일을 보내므로 다음과 같은 상황이 발생 할 수 있다. 1. 메일 보낸 사람의 시스템이 감염되었다고 오해 할 수 있다. 2. 다른 사람이나 메일 백신 프로그램에서 자신이 보낸적이 없는 메일에 대해서 백신 으로 검사 후 치료하라는 답장 메일을 받을 수 있다. 3. 자신이 보낸 적이 없는 메일이 수신인(받는이)이 없다며 답장 메일이 올 수 있다. 이 경우 해당 악성 코드의 진단 기능이 있는 최신 백신으로 자신의 시스템을 검사한 후 이상 없으면 다른 사람의 시스템에 감염되어 자신의 이름으로 메일이 발생되었다 고 볼 수 있다.

[♣백기사♣]

권상우님, 반가워요.^-^ / 이젠 글을 멋지게 올리시는군요. / 특별회원으로 올려드렸습니다. 행복한 하루가 되세요. / 이글은 [백신과 보안]으로 이동합니다.^^