이상한 메일에 관해 알려드립니다.

[geena]

며칠전부터 제가 저에게,,그리고 저도 모르는 많은 사람들에게 메일을 보내고 또 되돌아오고 있다는걸 발견했습니다.
보통 한사람이 여러 사이트에 각기 회원아이디를 가지고 있는데,,
제가 컴퓨터를 구입한 삼성컴퓨터 사이트에 등록된 저의 아이디로 첨부파일이 딸린 메일이 가고 있습니다.
그래서,, 이 사이트 운영자에게 확인해달라고 요청해보니,, 제 컴이 새로운 바이러스에 감염이 되었다고 하더군요.
따라서,, kkang70@zaigen.co.kr 로 부터 받는 메일은 무조건 삭제해 주시기 바랍니다.
전 바이러스를 만들 수 있을 만큼 컴퓨터에 대해 잘 알지도 못합니다.
여러 사람들에게 본의아니게 피해를 입히고 있습니다.
아래에 제가 zaigen 사이트 운영자로부터 받은 설명을 올려드리겠습니다.
컴에 대해 잘 아시는분은 절 좀 도와주십시요.. 어떻게 해야 하는지요.
_________________________________________________________________
글쓴이 : campmaster 날짜 :2001/07/23 14:08:56 조회수 : 6

회원님의 컴퓨터가 바이러스에 감염된 것 같습니다.
아래는 유사 바이러스에 대한 내용입니다.
========================================================
7월 17일 외국에서 발견된 W32.Sircam.Worm@mm가 국내에서도 확산되고
있습니다.
주소록의 모든이에게 메일을 보내며 첨부파일 명이 임의로 생성되므로
출처와 용도가 분명치 않은 첨부파일은 실행하지 말도록 합시다.
[바이러스 긴급경보 CERTCC-KR-VA-2001-004]
[경보] W32.Sircam.Worm@mm
□ 개요
W32.Sircam.Worm@mm는 W32/SirCam@MM, TROJ_SIRASM.A등으로 불리며 7월17일 외국에서 최초 발견되어 국내에도 확산되고 있다. 파일 리스트를 작성하고 그 파일에서 선택된 파일명이 첨부화일명이 되며 그 파일을 같이 첨부하여 메일을 통하여 전파된다.
□ 감염 원리 및 피해 증상
<감염원리>
마이크로 소프트의 아웃룩 주소록에 있는 모두 사람과 캐쉬 디렉토리에서 전자우편 주소를 찾아 다음과 같은 메일을 보낸다.
제 목 : 첨부화일명과 같음.
내 용 :
영어)
Hi! How are you?
I send you this file in order to have your advice
or I hope you can help me with this file that 1 send
or I hope you like the file that I send you
or This is the file with the information that you ask
for
See you later. Thanks

스페인어)
Hola como estas ?
Te mando este archivo para que me des tu punto de
vista
or Espero me puedas ayudar con el archivo que te
mando
or Espero te guste este archivo que te mando
or Este es el archivo con la informacion que me
pediste
Nos vemos pronto, gracias.
첨 부 : 랜덤하게 생성됨.
< 피해증상 >
c:recycled에 sirc32.exe와 윈도우 시스템 디렉토리 밑에 scam32.exe파일을 생성한다.
<레지스트키 생성>
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServicesDriver32=c:windowssystemscam32.exe

HKEY_CLASSES_ROOTexefileshellopencommandDefault="c:recycledsirc32.exe" "%1"%*

HKEY_LOCAL_MACHINESoftwareSircam

윈도우 시스템 디렉토리에 전자우편 주소를 저장한 sc??.dll과 파일
리스트가 저장된 sc?.dll이 생성된다.

□ 대응방법

최신 백신으로 검사한다.
sirc32.exe, scam32.exe, sircam.exe 파일을 찾아 삭제한다.
생성된 다음과 같은 레지스트리 키를 삭제한다.

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServicesDriver32=c:windowssystemscam32.exe

HKEY_CLASSES_ROOTexefileshellopencommandDefault="c:recycledsirc32.exe" "%1"%*

HKEY_LOCAL_MACHINESoftwareSircam

□ 참고

Symantec 사이트
-
http://www.symantec.com/avcenter/venc/data/pf/w32.sircam.worm@mm.html
<http://www.symantec.com/avcenter/venc/data/pf/w32.sircam.worm@mm.html>

MCAFEE 사이트
- http://vil.nai.com/vil/virusSummary.asp?virus_k=99141
<http://vil.nai.com/vil/virusSummary.asp?virus_k=99141>
Trend Micro 사이트
-
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=TROJ_SIRC
AM.A
<http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=TROJ_SIR
CAM.A>
하우리 사이트
- http://www.hauri.co.kr/virus/vir_info_detail.html?uid=196
<http://www.hauri.co.kr/virus/vir_info_detail.html?uid=196>


※ 위 내용은 실제 샘플 실행 경우와 다소 차이가 있을 수 있음

> 안녕하세요..자이젠에 이멜 아디를 갖고 있는데,,
> 얼마전부터 이상한 대량 첨부메일이 오고 있습니다.
> 그것두 보낸사람이 저로 되어 있더군요.
> 자이젠에 등록된 제가 다른 사이트에 등록된 저와 더불어
> 저도 모르는 수십명의 사람들에게 똑같은 파일이 첨부된
> 이멜을 보내고 있습니다. 저절루요.
> 그리고,, 갔던메일들이 되돌아 오기도 하고,
> 또 어떤이에게 보내져서 항의를 받기도 하고 있습니다.
> 그런데,,그 멜을 보내는 사람이 자이젠에 등록된 저로 되어 있어서,,
> 누가 그런짓을 하는지 저도 알길이 없군요.
> 어떻게 된건지 빨리 확인해 주십시요.
>