내용
한자로 된 메일제목으로(예, 精彩圖片, 想念) 메일을 발송하며 메일본문도 한자로 된 내용을 가지고 있다. 발신인에는 mail골뱅이btamail.net.cn 로 되어 있으나 실제로는 웜에 감염된 사용자가 보낸것이며 수신인도 g_op골뱅이163.com 로 되어 있다.
보안패치가 안된 아웃룩(익스프레스)등에서 메일을 읽거나, 미리보기 하여도 감염되며감염된 시스템은 윈도우 시스템 폴더( 일반적으로 C:\Windows\System )에 Kernelsys32.EXE( 60,313 바이트 )와 IMEKernel32.sys ( 61,440 바이트 ) 파일이 생성된다. C 드라이브 루트에 IMEKernel32.sys 파일이 생성되기도 한다.
Kernelsys32.EXE 파일은 웜 자체이며 IMEKernel32.sys 파일은 트로이목마로 패스워드를 훔쳐가는 기능을 한다. 트로이목마는 V3 제품군에서 Win-Trojan/Gop_v196.B 로 진단/삭제한다.
메일에 첨부되는 파일은 Win32/Sircam.worm 과 같이 [웜]+[다른파일]+[이중확장자]의 형태로 되어 있다. 따라서 화면에 출력되는 내용은 감염 당시 컴퓨터에서 찾은 파일에 따라 달라진다.
이중 확장자는 [BMP,RTF,DOC,TXT,GIF,JPEG,JPG] + [EXE,LNK]와 같은 형태로 이뤄진다.
예) tree.txt.exe
즉, 웜은 감염 컴퓨터에서 위 확장자의 파일중 하나를 임의로 선택후 웜끝에 추가한 후 메일에 첨부되어 발송된다. 따라서 사용자가 위 예의 tree.txt.exe 파일을 오픈하면 웜이 먼저 실행되고(사용자 모르게)바로 txt 문서가 오픈되어 이를 웜으로 눈치채지 못하게 한다.
다음 레지스트리를 변형해 윈도우가 시작될 때 자동 실행하도록 한다.
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run" 에 IMEKernel32 가 생성된다.
또한 C 드라이브가 읽기/쓰기 공유된 컴퓨터들도 감염대상이 되는데 다음과 같은 윈도우 폴더명
\pwinxp\win.ini
\winxp\win.ini
\pwin2000\win.ini
\win2000\win.ini
\pwin2k\win.ini
\win2k\win.ini
\winnnt32\win.ini
\winnt\win.ini
\win\win.ini
\window\win.ini
\win98\win.ini
\ewin98\win.ini
\ewin\win.ini
\ewindows\win.ini
\pwin\win.ini
\pwindows\win.ini
\pwin98\win.ini
\windows\win.ini
\win.ini
win.ini 에 다음과 같이 추가하고
\Recycled 폴더에 notdelw.i.n.i.n.v.e.r.y.i.f.y.exe 파일을 생성해둔다.
대책 방안
수신이 불분명한 메일은 읽지 말고 삭제해주기를 바란다.
최신 백신 엔진으로 업데이트 하여 진단/치료 한다.