오늘 하루만 해도 수차례 바이러스 첨부 메일을 받아서...
여러 회원님들 중에서도 비슷한 사례가 있을까 싶어서 올려드립니다.
저 한테는 'Henrye.zip' 라는 첨부파일 명으로 메일이 전송되어왔는데 파일명은 다를수 있습니다.
열지 마시고 무조건 삭제하시길 바랍니다.
나머지는 아래글 참고하시길 바랍니다.
----------------------------
□ 개 요
감염 시 감염 시스템 내에 저장되어 있는 메일주소를 검색하여, 검색된
메일 주소로 암호가 설정되어 있는 압축파일을 첨부하여 메일을 발송함
특정사이트에 접속하여 추가 악성코드를 다운로드 받으며, 일부 보안
프로그램을 종료함. 국내 외에서 확산되고 있어 주의 필요
□ 전파 방법
웜 복사본을 암호를 설정하여 메일 첨부 발송
□ 웜을 발송하는 악성메일의 유형
웜은 다음 유형으로 메일을 전송하므로, 아래와 같은 메일을 수신할 경우
첨부를 실행시키지 않도록 주의
o 메일 제목: 아래 중 하나
• Alice / Alyce / Andrew / Androw / Androwe / Annes
• Anthonie / Anthony / Anthonye / Avice / Bennet
• Bennett / Christean / Christian / Constance
• Cybil / Daniel / Danyell / Dorithie / Dorothee
• Dorothy / Edmond / Edmonde / Edmund / Edward
• Edwarde / Elizabeth / Elizabethe / Ellen / Ellyn
• Emanual / Emanuel / Emanuell / Ester / Frances
• Francis / Fraunces / Gabriell / Geoffraie / George
• Grace / Harry / Harrye / Henrie / Henry / Henrye
• Hughe / Humphrey / Humphrie / Isabel / Isabell
• James / Jeames / Jeffrey / Jeffrye / Joane / Johen
• Josias / Judeth / Judith / Judithe / Katherine
• Katheryne / Leonard / Leonarde / Margaret / Margarett
• Margerie / Margerye / Margret / Margrett / Marie
• Martha / Marye / Michael / Mychaell / Nathaniel
• Nathaniell / Nathanyell / Nicholas / Nicholaus
• Nycholas / Peter / Ralph / Rebecka / Richard
• Richarde / Robert / Roberte / Roger / Rycharde
• Samuell / Sidney / Sindony / Stephen / Susan
• Susanna / Suzanna / Sybell / Sybyll / Syndony
• Thomas / Valentyne / William / Winifred
• Wynefrede / Wynefreed / Wynnefreede
o 메일 첨부명: 아래의 이름 중 하나
• Alice.zip / Alyce.zip / Andrew.zip / Androw.zip
• Androwe.zip / Annes.zip / Anthonie.zip / Anthony.zip
• Anthonye.zip / Avice.zip / Bennet.zip / Bennett.zip
• Christean.zip / Christian.zip / Constance.zip
• Cybil.zip / Daniel.zip / Danyell.zip / Dorithie.zip
• Dorothee.zip / Dorothy.zip / Edmond.zip / Edmonde.zip
• Edmund.zip / Edward.zip / Edwarde.zip / Elizabeth.zip
• Elizabethe.zip / Ellen.zip / Ellyn.zip / Emanual.zip
• Emanuel.zip / Emanuell.zip / Ester.zip / Frances.zip
• Francis.zip / Francis.zip / Fraunces.zip / Gabriell.zip
• Geoffraie.zip / George.zip / Grace.zip / Harry.zip
• Harrye.zip / Henrie.zip / Henry.zip / Henrye.zip
• Hughe.zip / Humphrey.zip / Humphrie.zip / Isabel.zip
• Isabell.zip / James.zip / James.zip / Jeames.zip
• Jeffrey.zip / Jeffrye.zip / Joane.zip / Johen.zip
• Josias.zip / Judeth.zip / Judith.zip / Judithe.zip
• Katherine.zip / Katheryne.zip / Leonard.zip / Leonarde.zip
• Margaret.zip / Margarett.zip / Margerie.zip / Margerye.zip
• Margret.zip / Margrett.zip / Marie.zip / Martha.zip
• Marye.zip / Michael.zip / Mychaell.zip / Nathaniel.zip
• Nathaniell.zip / Nathanyell.zip / Nicholas.zip
• Nicholaus.zip / Nycholas.zip / Peter.zip / Ralph.zip
• Rebecka.zip / Richard.zip / Richarde.zip / Robert.zip
• Roberte.zip / Roger.zip / Rycharde.zip / Samuell.zip
• Sidney.zip / Sindony.zip / Stephen.zip / Susan.zip
• Susanna.zip / Suzanna.zip / Sybell.zip / Sybyll.zip
• Syndony.zip / Thomas.zip / Valentyne.zip / William.zip
• Winifred.zip / Wynefrede.zip / Wynefreed.zip / Wynnefreede.zip
o 메일 내용 예:
Type 1:
To the beloved
The password is "5자리 Random 숫자"
Type 2:
To the beloved
Use password "5자리 Random 숫자" to open archive
□ 감염 시 증상
o 파일 생성
c:\Document and Settings\"Computer name"\Application Data\hidn\
hidn.exe
c:\Document and Settings\"Computer name"\Application Data\hidn\
m_hook.sys
c:\error.gif
o 레지스트리 생성
HKEY_CURRENT_USER\Software\FirstRuxzx
FirstRun = "dword:00000001"
o 레지스트리 삭제
아래의 레지스트리를 삭제하여 안전모드로 부팅이 불가능하도록 함.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
<그림.3> 안전모드로 부팅이 안되는 화면
o 일부 보안 관련 프로그램 종료
o 아래의 특정사이트에 접속하여 추가로 파일을 다운로드
- ujsc[생략]ne.pl
- 1point[생략]e.nl
- appalo[생략].no
- apro[생략].com
- arborf[생략]ia.com
- paw[생략]z.com
- areal[생략]lt.ru
- bi[생략]l.ru
- 80.99[생략]5.49
- art4u1.[생략]st.pl
- www.a[생략]ed.pl
- 213.25[생략]62.149
- www.jo[생략]ira.com
- asde[생략]n.cz
- 207.2[생략]11.93
- 207.21[생략]1.95
- www.aure[생략]eley.com
- www.aut[생략]b.ru
- www.aut[생략]ota.ru
- ave[생략].ee
- www.avin[생략]ma.ru
- ouarzazate[생략]ces.com
- stats-adf[생략]dis.com
- bartex-[생략]m.pl
- bazar[생략]r.sk
- gnu.univ[생략].pl
- bid-[생략]com
- bilis[생략].com
- biome[생략].cz
- black[생략]l.cz
- bohum[생략]o.cz
- bonsai[생략]ld.com.au
- bpsbill[생략]ds.com
- cadinfor[생략]ics.com
- canecae[생략].com
- www.castn[생략]edia.com
- comp[생략]l.com
- continenta[생략]dia.com
- ceram[생략]o.kr
- prime.g[생략]i.org
- www.chapis[생략].com
- charlessp[생략]ns.com
- chatsk.[생략].cz
- i.[생략]z.cz
□ 감염 / 피해 예방 방법
o 웜이 발송하는 유형의 메일을 수신 시 첨부 파일을 열어보지 않음
o 백신을 최신으로 업데이트 하고 주기적으로 점검함
'내 이야기들 > 셈틀이야기' 카테고리의 다른 글
| 컴퓨터 네트워크 속도 500% 올리기 (0) | 2007.06.08 |
|---|---|
| UCC를 통해 유포되는 악성코드 예방법 (0) | 2007.04.22 |
| PC 소음으로부터 벗어나자! (0) | 2007.02.28 |
| 스파이웨어, 넌 도대체 누구냐? (0) | 2006.06.30 |
| PC 사용자 기본 교육 「10가지 지침」 (0) | 2006.06.12 |