Win32/Netsky.worm.16896.B |
다른 이름 |
Netsky.M, W32/Netsky.gen@MM, Win32.HLLM.Netsky.based, W32/Netsky.M@mm, I-Worm.Netsky.l |
감염시위험도 |
5등급(주의)
![](https://img1.daumcdn.net/relay/cafe/original/?fname=http%3A%2F%2Fimage.ahnlab.com%2Finfo%2Fsecurityinfo%2Fvirus_risk_text.gif)
|
확산위험도 |
2등급
![](https://img1.daumcdn.net/relay/cafe/original/?fname=http%3A%2F%2Fimage.ahnlab.com%2Finfo%2Fsecurityinfo%2Fvirus_risk_text.gif)
|
현재 확산도 |
2등급
|
종류 |
웜 |
감염 형태 |
실행파일 |
감염 OS |
윈도우 |
감염 경로 |
메일 |
최초 발견일 |
2004-03-11 |
국내발견일 |
2004-03-12 |
특정 활동일 |
특정일 활동 없음
|
제작국 |
불분명
|
진단 가능 엔진 |
2004.03.12.00 |
치료 가능 엔진 |
2004.03.12.00 |
|
※ 표기된 날짜 이후의 엔진으로 진단 및 치료가 가능합니다.
|
증상 |
- 메일이 발송된다.
- 윈도우 폴더에 AVprotect9x.exe 파일 만든다.
|
내용 |
- 요약
Win32/Netsky.worm.16896.B은 메일로 전파되는 웜으로 감염된 시스템은 윈도우 폴더에 AVprotect9x.exe 파일이 만들어 진다.
- 전파 경로
다음 메일로 전파된다.
* 보낸 사람 : 임의로 선택된다.
* 제목 : 다음중 선택된다. %s는 메일 받는 사람
- Re: <%s> Approved
- Re: <%s> Details
- Re: <%s> Document
- Re: <%s> Improved
- Re: <%s> Information
- Re: <%s> My details
- Re: <%s> My document
- Re: <%s> My file
- Re: <%s> My information
- Re: <%s> Requested document
- Re: <%s> Requested file
- Re: <%s> Your details
- Re: <%s> Your document
*본문 : 다음 중 선택. %s는 메일 받는 사람
- %s is attached.
- Authentification for %s required.
- Details for %s.
- Document %s.
- I have attached your document %s.
- I have received your document. The improved document %s is attached.
- Please confirm the document %s.
- Please read the attached file %s.
- Please read the document %s.
- Please read the important message msg_%s.
- Please see the attached file %s for details.
- Requested file %s.
- See the file %s.
- Your document %s is attached to this mail.
- Your document %s is attached.
- Your file %s is attached.
* 첨부 파일 : 확장자가 PIF 파일은 다음 중 선택. %s는 메일 받는 사람
- articel_%s.pif
- detailed_%s.pif
- details_%s.pif
- doc_%s.pif
- document_%s.pif
- file_%s.pif
- improved_%s.pif
- message_%s.pif
- picture_%s.pif
- word_doc_%s.pif
- your_document_%s.pif
- your_file_%s.pif
- %s.pif
( 예 :
제목: Re: Improved
본문: Please read the important message msg_word_doc_v3sos.
첨부파일: word_doc_v3sos.pif )
- 현재 확산도
2004년 3월 11일 최초 발견되었으며 2004년 3월 12일 15시 30분 현재 안철수연구소는 2 건의 감염 보고를 받았다.
- 실행 후 증상
웜 파일이 실행되면 윈도우 폴더(윈도우 폴더는 시스템마다 다를 수 있으며 보통 윈도우 95/98/ME/XP는 C:\Windows, 윈도우 NT/2000은 C:\WinNT 폴더이다. )에 AVprotect9x.exe 파일로 자신을 복사한다.
레지스트리에 다음 키 값을 추가해 윈도우 시작시 악성코드가 자동 실행되게 한다.
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
의 '9xHtProtect' 키로 웜 파일 등록 ( 예 : c:\winnt\AVprotect9x.exe )
감염된 시스템에서 메일 주소를 얻어 웜 파일이 첨부된 메일을 발송한다.
* 이 정보는 2004년 3월 12일 13시 42분에 최초 작성되었으며 2004년 3월 12일 15시 30분에 최종 수정되었다.
|
치료방법 |
* V3Pro 2002 Deluxe / V3Pro 2004 / V3Net for Windows Server 사용자
1. 사용 제품을 실행 후 [업데이트] 버튼이나 업데이트 파일을 통해 최신 엔진 및 패치 파일로 업데이트 한다.
2. 검사할 드라이브를 지정하고 검사를 시작한다.
3. 프로세스에서 실행중인 관련 악성코드가 진단되면 안내되는 메시지의 '강제종료후 치료' 선택한다. 종료된 악성코드는 자동 치료(삭제)된다.
4. 프로세스 검사와 지정 드라이브 검사가 끝나면 치료창이 보여진다. 여기서 '전체목록치료' 버튼을 눌러 진단된 악성코드를 치료(삭제)한다.
5. 필요시 추가/변경 된 레지스트리 값은 자동수정된다. (V3Pro 2000/2002 Deluxe / V3Pro 2004 이상)
|
참고사항 |
* 이 웜은 감염된 시스템에서 수집한 메일 주소 중 하나를 임의로 선택해 발신인(보낸이)으로 메일을 보내므로 다음과 같은 상황이 발생 할 수 있다.
1. 메일 보낸 사람의 컴퓨터가 웜에 감염되었다고 오해 받을 수 있다.
2. 다른 사람이나 메일 백신 프로그램으로 부터 자신이 보낸적이 없는 메일에 대해서 바이러스를 치료하라는 메일을 받을 수 있다. 하지만, 자신의 컴퓨터를 최신 백신으로 검사해 봤을 때 아무 것도 검사되지 않았다.
또한, 실제 메일 보낸 곳을 확인하기 위해서는 발신인이 아니라 메일 헤더를 분석해야 한다.
|