한국정보보호진흥원에서 WORM_MIMAIL.C 웜 바이러스에 대한 C급 경보가 발령되었습니다.
메일을 통하여 전파되는 이 웜 바이러스는 첨부화일의 확장자가 ZIP으로 되어 있으며,
내장된 메일전송 프로그램을 이용하여 임의의 사용자에게 메일을 전송하는 기능을
보유하고 있습니다.
메일을 보낸사람이 모르는 사람인 경우에는 메일을 읽어보거나, 첨부화일을 실행하지 않도록
하여야 하며, 백신 프로그램을 최신으로 업데이트 하여야 합니다.
=======================================================
☆ 개요
2003년 10월 31일 외국에서 처음 발견되었으며 11월 1일 국내에도 유입되었다.
자체 내장된 SMTP 엔진을 이용하여 메일로 전파되며 첨부 파일은 ZIP파일로
되어 있는 것이 특징이다
☆ 전파방법
메일의 주소, 제목과 첨부파일을 다음과 같이 위장하여 전파한다.
□ 보낸 사람 : james@(임의의 도메인 네임)
□ 메일 제목 : Re[2]: our private photos (가변적인 문자열 추가)
□ 메일 본문 :
Hello Dear!,
Finally i've found possibility to right u, my lovely girl :)
All our photos which i've made at the beach (even when u're without ur bh:))
photos are great! This evening i'll come and we'll make the best SEX :)
Right now enjoy the photos.
Kiss, James. (본문 끝에 임의의 문자열 추가)
□ 첨부 파일 : photos.zip
☆ 피해증상
□ 압축되어 있는 photos.zip 파일에 들어있는 photos.jpg.exe 파일을 실행시키면 윈도우 시스템 폴더에 다음과 같은 파일이 생성된다
Netwatch.exe
Zip.tmp
Exe.tmp
Eml.tmp
□ 다음과 같은 레지스트리가 생성된다.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun = "시스템디렉토리netwatch.exe"
□ 아래 사이트로 Dos 공격을 한다.
www.darkprofits.com
www.darkprofits.net
darkprofits.com
darkprofits.net
레지스트리 편집기를 실행한다.
o 레지스트리 편집기의 좌측 창에서 아래의 순서대로 진행하여 항목을 찾는다.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
o 레지스트리 편집기의 우측 창에서 새로 생성된 레지스트리 키를 삭제한다.
예를들어) "Netwatch32"="%Windows%netwatch.exe"
※ 잘못된 레지스트리의 수정작업은 시스템의 이상을 발생시킬 수 있으므로 수정 작업 시
주의하도록 한다.
o 시스템을 재시작 한다.
윈도우 바탕화면의 『시작』 → 『검색』을 클릭한 후,
Netwatch.exe
ZIP.TMP
EXE.TMP
EML.TMP
파일들을 찾아 삭제한다.
