본문바로가기 3.21.159.11
모바일 메뉴 닫기
상단배경사진

DCU광장

Community

메인으로

바이러스/보안게시판

[주의] Win32/Sober@mm 웜바이러스
작성일 : 2003/10/31 작성자 : 전산정보팀 조회수 : 5547

한국정보보호진흥원에서 웜 바이러스 주의예보가 발령되었습니다.
운영제체와 백신을 항상 최신버젼으로 유지하고 사용하시면,
피해를 줄일수 있습니다.

==============================================================================

바이러스 주의예보 CERTCC-KR-VN-2003-038]

☆ 개요
2003년 10월24일 외국에서 처음 발견되었으며 29일 국내에도 유입되었다. 자체 내장된 SMTP 엔진을 이용하여 메일로 전파되며 첨부파일 실행 시 에러메세지의 창을 출력한다.

☆ 전파방법
메일의 제목과 첨부파일이 다음과 같이 바이러스 백신 프로그램으로 위장하여 전파한다.

- 메일 제목
Neuer Virus im Umlauf!
Sie versenden Spam Mails (Virus?)
Ein Wurm ist auf Ihrem Computer!
Langsam reicht es mir
Sie haben mir einen Wurm geschickt!
Hi Schnuckel was machst du so ?
VORSICHT!!! Neuer Mail Wurm
Re: Kontakt
RE: Sex
Sorry, Ich habe Ihre Mail bekommen
Hi Olle, lange niks mehr gehort!
Re: lol
Viurs blockiert jeden PC (Vorsicht!)
Uberraschung
Ich habe Ihre E-Mail bekommen !
Jetzt rate mal, wer ich bin !?
Neue Sobig Variante (Lesen!!)
Back At The Funny Farm
Ich Liebe Dich
New internet virus!
You send spam mails (Worm?)
A worm is on your computer!
Now, it's enough
You have sent me a virus!
Hi darling, what are you doing now?
Be careful! New mail worm
Re: Contact
RE: Sex
Sorry, I've become your mail
Hey man, long not see you
Viurs blocked every PC (Take care!)
Surprise
I've become your mail!
Advise who I am!
New Sobig-Worm variation (please read)
I love you (I'm not a virus!)

- 첨부파일
AntiVirusDoc.pif
Check-Patch.bat
Screen_Doku.scr
Removal-Tool.exe
Perversionen.scr
Bild.scr
robot_mail.scr
RobotMailer.com
Privat.exe
AntiTrojan.exe
Mausi.scr
NackiDei.com
Anti-Sob.bat
security.pif
Funny.scr
Liebe.com
Odin_Worm.exe
anti_virusdoc.pif
check-patch.bat
removal-tool.exe
screen_doc.scr
potency.pif
perversion.scr
pic.scr
CM-Recover.com
playme.exe
robot_mailer.pif
little-scr.scr
love.com
nacked.com
Hengst.pif
schnitzel.exe
anti-trojan.exe
NAV.pif
private.exe

☆ 피해증상

   윈도우 시스템 폴더에 다음과 같은 파일이 생성된다
     drv.exe
     similare.exe
     systemchk.exe   
     filexe.exe 등

"File not complete!" 의 에러 메시지 박스가 출력된다.

다음과 같은 레지스트리가 생성된다.
 - HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
  syspath = “시스템디렉토리drv.exe" 등과 같이 생성된 파일 이름의 키가 생성된다.

☆ 감염시 치료방법

- 다음 사이트에서 백신을 다운받아 최신 버전으로 업데이트 한 후 치료한다.
  ※ 안철수 : http://home.ahnlab.com/smart2u/virus_detail_1231.html
  ※ 시만텍 : http://securityresponse.symantec.com/avcenter/venc/data/w32.sober@mm.html
  ※ 하우리 : http://hauri.co.kr/virus/vir_read.html?code=IWW3000446
  ※ 트랜드 : http://www.trendmicro.com/vinfo/virusencyclo/default5.asp? VName=WORM_SOBER.A

- 수동으로 치료하는 방법
?윈도우 바탕화면의 『시작』 → 『실행』을 클릭한 후, 실행창에 regedit를 입력하여
    레지스트리 편집기를 실행한다.
?레지스트리 편집기의 좌측창에서 아래의 순서대로 진행하여 항목을 찾는다.
    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
?레지스트리 편집기의 우측창에서 새로 생성된 레지스트리키를 삭제한다.

※ 잘못된 레지스트리의 수정작업은 시스템의 이상을 발생시킬 수 있으므로
                수정 작업 시 주의하도록 한다.

※ 위 내용은 실제 샘플 실행 경우와 다소 차이가 있을 수 있음

☆ 상세정보 사이트
  ※ 안철수 : http://home.ahnlab.com/smart2u/virus_detail_1231.html
  ※ 시만텍 : http://securityresponse.symantec.com/avcenter/venc/data/w32.sober@mm.html
  ※ 하우리 : http://hauri.co.kr/virus/vir_read.html?code=IWW3000446
  ※ 트랜드 : http://www.trendmicro.com/vinfo/virusencyclo/default5.asp? VName=WORM_SOBER.A

 
댓글 작성
최상단 이동 버튼