바이러스
홈 >
바이러스
>
바이러스
조회수 : 133
작성일 : 2007.04.03
| I-Worm.Win32.Sober.P | |
| 작성자 | 허소영 |
|---|---|
| 내용 | I-Worm.Win32.Sober.P
별 칭 W32.Sober.O@mm[Symantec], Email-Worm.Win32.Sober.P[Kaspersky] 분 류 I-Worm 활동범위 윈32 파괴/확산등급 특정활동일 없음 확산방법 메일 대표적 증상 레지스트리 변경, 메일발송, 파일생성 제작국가 불분명 암호화 여부 비암호화 감염위치 없음 시스템메모리 상주 여부 비상주 발견일 [국내] 2005/05/03 [해외] 2005/05/02 엔진버전 2005-05-03 [진단, 치료 가능] 관련바이러스 I-Worm.Win32.Sober I-Worm.Win32.Sober.B I-Worm.Win32.Sober.C I-Worm.Win32.Sober.D I-Worm.Win32.Sober.F I-Worm.Win32.Sober.G I-Worm.Win32.Sober.H I-Worm.Win32.Sober.I 내 용 [전체 요약] 2005년 5월 2일 외국에서 발견되었고, 국내에는 5월 3일 발견되기 시작했다. 웜은 자체 SMTP기능을 이용하여 E메일로 확산되며 감염되면 윈도우, 윈도우 시스템 폴더에 여러개의 폴더 및 파일들을 생성한다. [확산 방법] 1. 웜이 실행되면, 시스템의 존재하는 다음의 확장명을 지닌 파일에서 메일 주소를 추출하여 웜 파일이 첨부된 메일을 자동으로 발송시킨다. - .abc - .abd - .abx - .adb - .ade - .adp - .adr - .asp - .bak - .bas - .cfg - .cgi - .cls - .cms - .csv - .ctl - .dbx - .dhtm - .doc - .dsp - .dsw - .eml - .fdb - .frm - .hlp - .imb - .imh - .imh - .imm - .inbox - .ini - .jsp - .ldb - .ldif - .log - .mbx - .mda - .mdb - .mde - .mdw - .mdx - .mht - .mmf - .msg - .nab - .nch - .nfo - .nsf - .nws - .ods - .oft - .php - .phtm - .pl - .pmr - .pp - .ppt - .pst - .rtf - .shtml - .slk - .sln - .stm - .tbb - .txt - .uin - .vap - .vbs - .vcf - .wab - .wsh - .xhtml - .xls - .xml 2. 추출한 메일주소중에 아래의 문자가 포함되어 있는 주소에는 메일을 전송하지 않는다. - -dav - .dial. - .kundenserver. - .ppp. - .qmail@ - .sul.t- - @arin - @avp - @ca. - @example. - @foo. - @from. - @gmetref - @iana - @ikarus. - @kaspers - @messagelab - @nai. - @panda - @smtp. - @sophos - @www - abuse - announce - antivir - anyone - anywhere - bellcore. - bitdefender - clock - detection - domain. - emsisoft - ewido. - free-av - freeav - ftp. - gold-certs - host. - icrosoft. - ipt.aol - law2 - linux - mailer-daemon - mozilla - mustermann@ - nlpmail01. - noreply - nothing - ntp- - ntp. - ntp@ - office - password - postmas - reciver@ - secure - service - smtp- - somebody - someone - spybot - sql. - subscribe - support - t-dialin - t-ipconnect - test@ - time - user@ - variabel - verizon. - viren - virus - whatever@ - whoever@ - winrar - winzip - you@ - yourname 3. 보내는 메일 형식은 아래의 두가지가 있다. [독일어] * 보내는 사람 : (랜덤하게 선택되어진다.) * 메일 제목 : (아래의 내용중 하나가 선택되어진다.) - Ihr Passwort - Mail-Fehler! - Ihre E-Mail wurde verweigert - Ich bin's, was zum lachen ;) - Glueckwunsch: Ihr WM Ticket - WM Ticket Verlosung - WM-Ticket-Auslosung * 본문 내용 : (아래의 내용중 하나가 선택되어진다.) - Passwort und Benutzer-Informationen befinden sich in der beigefuegten Anlage. http:/ /www.[random domain] *-* MailTo: PasswordHelp - Diese E-Mail wurde automatisch erzeugt Mehr Information finden Sie unter http://www.(임의의 도메인 주소) Folgende Fehler sind aufgetreten: Fehler konnte nicht Explicit ermittelt werden Aus Datenschutzrechtlichen Gruenden, muss die vollstaendige E-Mail incl. Daten gezippt & angehaengt werden. Wir bitten Sie, dieses zu beruecksichtigen. Auto ReMailer# - Nun sieh dir das mal an Was ein Ferkel .... - Herzlichen Glueckwunsch, beim Run auf die begehrten Tickets fr die 64 Spiele der Weltmeisterschaft 2006 in Deutschland sind Sie dabei.Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang. - St. Rainer Gellhaus --- Pressesprecher Jens Grittner und Gerd Graus --- FIFA Fussball-Weltmeisterschaft 2006 --- Organisationskomitee Deutschland --- Tel. 069 / 2006 - 2600 --- Jens.Grittner@ok2006.de --- Gerd.Graus@ok2006.de * 첨부파일 : (아래의 파일명중 하나가 선택되어진다.) - LOL.zip - autoemail-text.zip - _PassWort-Info.zip - Fifa_Info-Text.zip - okTicket-info.zip [영문] * 보내는 사람 : (랜덤하게 선택되어진다.) * 메일 제목 : (아래의 내용중 하나가 선택되어진다.) - Re:Your Password - Re:Registration Confirmation - Re:Your email was blocked - Re:mailing error - Re: (공백) * 본문 내용 : (아래의 내용중 하나가 선택되어진다.) - ok ok ok,,,,, here is it - Account and Password Information are attached! Visit: http://www.(임의의 도메인 주소) - This is an automatically generated E-Mail Delivery Status Notification. Mail-Header, Mail-Body and Error Description are attached * 첨부파일 : - our_secret.zip - mail_info.zip - error-mail_info.zip - account_info.zip - account_info-text.zip * 첨부된 파일은 'Winzipped-Text_Data.txt(공백).pif' 또는 'Winzipped-Text_Data.txt(공백).exe'의 이름으로 웜 자신을 포함하고 있다. 4. 다음의 파일이 존재할 경우 해당 파일을 삭제한다. - (프로그램 파일 폴더)\Symantec\Liveupdate\a*.exe - (프로그램 파일 폴더)\Symantec\Liveupdate\luc*.exe - (프로그램 파일 폴더)\Symantec\Liveupdate\ls*.exe - (프로그램 파일 폴더)\Symantec\Liveupdate\luu*.exe [감염 후 증상] 1. 웜이 실행되면 아래의 파일들을 생성한다. - (윈도우 폴더)\Connection Wizard\Status\csrss.exe - (윈도우 폴더)\Connection Wizard\Status\packed1.sbr - (윈도우 폴더)\Connection Wizard\Status\packed2.sbr - (윈도우 폴더)\Connection Wizard\Status\packed3.sbr - (윈도우 폴더)\Connection Wizard\Status\services.exe - (윈도우 폴더)\Connection Wizard\Status\smss.exe - (윈도우 폴더)\Connection Wizard\Status\sacri1.ggg - (윈도우 폴더)\Connection Wizard\Status\sacri2.ggg - (윈도우 폴더)\Connection Wizard\Status\sacri3.ggg - (윈도우 폴더)\Connection Wizard\Status\voner1.von - (윈도우 폴더)\Connection Wizard\Status\voner2.von - (윈도우 폴더)\Connection Wizard\Status\voner3.von - (윈도우 폴더)\Connection Wizard\Status\sysonce.tst - (윈도우 폴더)\Connection Wizard\Status\fastso.ber - (윈도우 시스템 폴더)\adcmmmmq.hjg - (윈도우 시스템 폴더)\langeinf.lin - (윈도우 시스템 폴더)\nonrunso.ber - (윈도우 시스템 폴더)\seppelmx.smx - (윈도우 시스템 폴더)\xcvfpokd.tqa 2. 재부팅시마다 자동으로 실행되기 위하여 아래의 위치에 레지스트리값을 추가한다. - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run - 이 름 : (공백)WinStart - 데이터 : (윈도우 폴더)\Connection Wizard\Status\services.exe - HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run - 이 름 : _WinStart - 데이터 : (윈도우 폴더)\Connection Wizard\Status\services.exe 3. 인터넷 가능여부를 확인하기 위하여 아래의 도메인 주소에 접속을 시도한다. - microsoft.com - bigfoot.com - yahoo.com - t-online.de - google.com - hotmail.com [표기법] - "(윈도우 시스템 폴더)" 란 시스템마다 다를 수 있으며 일반적으로 C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), C:\Windows\System32 (Windows XP) 이다. - "(윈도우 폴더)" 란 시스템마다 다를 수 있으며 일반적으로 C:\Windows (Windows 95/98/Me/XP), C:\Winnt (Windows NT/2000)이다. - "(윈도우 폴더)" 란 시스템마다 다를 수 있으며 일반적으로 C:\Windows (Windows 95/98/Me/XP), C:\Winnt (Windows NT/2000)이다. - "(프로그램 파일 폴더)" 란 시스템마다 다를 수 있으며 일반적으로 C:\Program Files (Windows 95/98/Me/XP/NT/2000)이다. Version 1 : 오전 9:58 2005-05-03(GMT+9) 분석 보고서 1차 버전 내용이 완성되었다. |
| 첨부파일 | |
