보안IT뉴스 보안권고문 보안Tip 보안처방 보안통신 보안용어 보안백신메일 보안캘린더
보안위협DB 찾기
보안칼럼
에브리존 Zip에브리존 See에브리존 FTP

  보안IT뉴스
  보안권고문
  보안Tip
  보안처방
  보안통신
  보안용어
  보안백신메일
  보안캘린더
  보안위협DB찾기
  보안칼럼

   보안위협DB찾기
   
  
 목록 |  윗글 |  아랫글  
W32/Mytob.47104@mm
 바이러스 종류
Worm
 실행환경
Windows
 발견일
2005년06월03일
 제작지
불분명
 위험등급
높음
 확산방법
이메일, 보안취약성
 바이러스 크기
47,104 Byte
 첨부파일
email-info.zip 외 다수
 메일제목
  Account Alert 외 다수
 증상요약
  이 웜은 이메일을 통하여 전파되며, 자체 SMTP 엔진을 이용한다.
 치료방법

터보백신 제품군으로 진단/치료 가능합니다.



  
 
상세설명
이 웜은 이메일을 통하여 전파되며, 자체 SMTP 엔진을 이용한다.


[메일 제목]

다음 중에서 선택된다.

*DETECTED* Online User Violation

*WARNING* Your Email Account Will Be Closed

:Notice: **Last Warning**

Account Alert

Email Account Suspension

Important Notification

Notice of account limitation

Security measures

Your Email Account is Suspended For Security Reasons

[메일 내용]

다음 중에서 선택된다.

Once you have completed the form in the attached file , your account records will not be interrupted and will continue as normal.

Please read the attached document and follow it''s instructions.

The original message has been included as an attachment.

We attached some important information regarding your account.

We regret to inform you that your account has been suspended due to the violation of our site policy, more info is attached.

[첨부파일]

이름 은 다음 리스트에서 선택 된다.

account-details
document
email-doc
email-info
INFO
info-text
information
instructions

확장자는 다음과 같다.
BAT
CMD
EXE
PIF
SCR
ZIP


[특징]

웜이 실행되면 다음과 같이 윈도우 시스템 폴더(win 2000, NT : c:\Wint\system32, win XP : c:\windows\system32)
에 BETA.EXE 파일을 생성한다.

또한, 다음처럼 레지스트를 수정하여 다음 부팅시 실행되도록 조작한다.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
항목에

WINDOWS SYSTEM = "beta.exe"


HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
항목에

WINDOWS SYSTEM = "beta.exe"

를 기록한다.

windows xp 에서는 firwall 설정에 관계된 다음 레지스트리를 수정한다.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess

Start = "4"

를 기록한다.

이메일 주소는 다음 확장자를 가진 파일에서 추출 한다.

ADB
ASP
CGI
DBX
HTM
JSP
PHP
PL
SHT
TBB
TXT
WAB
XML

다음 문자열을 포함한 메일주소로는 감염된 메일을 보내지 않는다.

abuse
accoun
admin
administrator
anyone
be_loyal:
bsd
bugs
ca
certific
contact
fcnz
feste
gold-certs
google
help
icrosoft
info
linux
listserv
mail
me
no
nobody
noone
not
nothing
ntivi
page
postmaster
privacy
rating
register
root
samples
secur
service
site
soft
somebody
someone
spm
submit
support
the.bat
unix
webmaster
www
you
your

다음 도메인 네임을 포함하고 있는 이메일 주소로는 감염된 메일을 보내지 않는다.

.edu
.gov
.mil
acketst
arin.
avp
berkeley
borlan
bsd
example
fido
foo.
fsf.
gnu
google
gov.
hotmail
iana
ibm.com
icrosof
ietf
inpris
isc.o
isi.e
kernel
linux
math
mit.e
mozilla
msn.
mydomai
nodomai
panda
pgp
rfc-ed
ripe.
ruslis
secur
sendmail
sopho
syma
tanford.e
unix
usenet
utgers.ed

또한 일부 백신및 보안프로그램의 프로세스를 강제 종료 시키고 랜덤한

포트를 열어 놓아, 특정 IRC 채널에 접속하는 기능을 가지고 있다.

마지막으로 Hosts 파일을 수정하여 특정 주소로 접속을 방해 한다.
내용은 다음과 같다.

avp.com
ca.com
customer.symantec.com
dispatch.mcafee.com
download.mcafee.com
f-secure.com
kaspersky.com
kaspersky-labs.com
liveupdate.symantec.com
liveupdate.symantecliveupdate.com
mast.mcafee.com
mcafee.com
microsoft.com
my-etrust.com
nai.com
networkassociates.com
oxyd.fr
rads.mcafee.com
secure.nai.com
securityresponse.symantec.com
sophos.com
symantec.com
t35.com
t35.net
trendmicro.com
update.symantec.com
updates.symantec.com
us.mcafee.com
viruslist.com
viruslist.com
virustotal.com
www.avp.com
www.ca.com
www.f-secure.com
www.grisoft.com
www.kaspersky.com
www.mcafee.com
www.microsoft.com
www.msn.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.oxyd.fr
www.sophos.com
www.symantec.com
www.t35.com
www.t35.net
www.trendmicro.com
www.viruslist.com
www.virustotal.com
 
예방 및 수동조치방법
무단전재ㆍ배포금지
에브리존에서 제공하는 모든 컨텐츠 정보에 대한 저작권은 에브리존의 소유이며 관련법의 보호를 받습니다.
에브리존의 사전 허가 없이 에브리존 컨텐츠를 무단으로 전재, 배포를 금지되어 있습니다.
이를 위반하는 경우 손해배상의 대상 또는 민.형사상의 법적 소송 대상이 될 수 있습니다.
* 에브리존 정보 이용 문의 : greenking@everyzone.com
 목록