(주)에브리존 :: 바이러스 · 악성코드 없는 세상

보안IT뉴스

보안권고문

보안Tip

보안처방

보안위협DB 찾기

보안위협DB찾기

목록 |

윗글 |

아랫글

W32/Mydoom@mm

바이러스 종류

Worm

실행환경

Windosws

발견일

2004년01월26일

제작지

불분명

위험등급

확산방법

바이러스 크기

22,528 byte

첨부파일

22,528 byte 크기로 EXE, ZIP, PIF, SCR, BAT 확장자를 가지며 첨부된 파일의 이름은 무작위적이다.

메일제목

Hello, Error, Test 외 다수

증상요약

치료방법

터보백신Ai, 터보백신 Online, 터보백신 2001 제품군으로 치료가능.

터보백신 Ai를 사용하시고 아웃룩을 사용하신 다면 반드시 이메일 감시기를
실행하시기 바랍니다.

상세설명

이 웜은 1월 26일 발견되었으며 국내에는 1월 27일 오전부터 확산 되기 시작 하였다.
UPX 실행 파일 압축되 있으며, 2월 12일 이후에는 실행되지 않도록 코딩 되 있다.
또한 자체 SMTP를 내장하여 이 메일과 KaZaA 라는 P2P 공유 프로그램을 통해 감염 되어 확산되는 2가지 방식을 가진다.

메일을 통한 감염시 다음 파일에서 메일 주소를 추출 한다.
dbx
wab
adb
tbb
asp
php
sht
htm
txt

웜이 실행 되면 메모장에 깨어진 글자를 표시하며 윈도우 시스템 폴더
(Win9x- c:\windows\system, Win2000, NT - c:\Winnt\system32, win XP - c:\windows\system32)
에 taskmon.exe(22,528byte) , Shimgapi.dll(4,096byte)를 생성한다.

다음으로 레지스트리를 조작하여 윈도우를 실행 할 경우 먼저 웜을 실행 시키도록 한다.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
항목에

win2000,nt 의 경우 : TaskMon : c:\winnt\system32\taskmon.exe
win xp 의 경우 : TaskMon : c:\windows\system32\taskmon.exe

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrnetVersion\Run
항목에

win2000,nt 의 경우 : TaskMon : c:\winnt\system32\taskmon.exe
win xp 의 경우 : TaskMon : c:\windows\system32\taskmon.exe

HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
항목에

win2000,nt 의 경우 : (Default) : C:\WINNT\System32\shimgapi.dll
win xp 의 경우 : (Default) : C:\WINNT\System32\shimgapi.dll

또한 TCP 3127번 포트를 오픈하기 때문에 외부에서 감염된 시스템에 접근할 수도 있다.

메일의 제목은 일정치 않으며 다음의 대소문자 문장에서 랜덤하게 결정된다.

Hi
HI
error
ERROR
Test
TEST
Hello
HELLO
Mail Delivery System
MAIL DELIVERY SYSTEM
FW: Returned mail: see transcript for details

메일 본문은 다음과 같으나 일정치 않으며 없을 수도 있다

The message contains Unicode characters and has been sent as a binary attachment.

The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

Mail transaction failed. Partial message is available.

test

첨부된 파일의 이름은 무작위적이며 다음 처럼 EXE, ZIP, PIF, SCR, BAT 확장자를 가진다.

예를 들면
ancd.zip
aqmd.zip
body.scr
doc.zip
document.zip
document.pif
message.zip
test.zip
text.scr 와 같은 형태이다.

예방 및 수동조치방법