한국정보보호진흥원에서 웜바이러스 주의예보가 발령되었습니다.
공유폴더에 대한 비밀번호를 등재하도록 하고, 관리자에 대한 암호를
사용하도록 하여 관리에 만전을 기하시기 바랍니다.
--------------[웜바이러스] 주의예보 발령내용-------------------------
안녕하십니까?
한국정보보호진흥원의 CERTCC-KR 입니다.
W32.Sobig.C@mm 웜 바이러스 예보 (웜)바이러스 주의예보를발령합니다.
------------------------------------------
[바이러스 주의예보VN2003229]
☆ 개요
W32.Sobig.C@mm 웜 바이러스는 W32.Sobig@mm 웜 바이러스의
변종으로 5월 31일 외국에서 발견되어 아직 국내로 유입되지 않은 것으로
보인다. 메일의 첨부파일과 네트워크 공유를 통해 전파되어 확산속도가
빨라 국내로 유입될 가능성이 크므로 윈도우즈 사용자들의 주의가 요구된다.
☆ 전파방법
메일과 공유폴더를 통해 전파된다.
o 메일을 통해 전파되는 경우
-확장자가 다음과 같은 파일에서 이메일 주소를 추출하여 아래와 같은
형식으로 바이러스 메일을 발송한다.
wab, .dbx, .htm, .html, .eml, .txt
-보낸사람 : bill@microsoft.com
-제목: (다음 중 임의로 선택되어짐)
Re: Movie
Re: Submited (004756-3463)
Re: 45443-343556
Re: Approved
Approved
Re: Your application
Re: Application
-본문내용 :
Please see the attached file.
-첨부파일 : (다음 중 임의로 선택되어짐)
screensaver.scr
movie.pif
submited.pif
45443.pif
documents.pif
approved.pif
application.pif
document.pif
o 네트워크 공유를 통해 전파되는 경우
공유폴더에 자신을 복사한다.
☆ 피해증상
o 바이러스를 전파하기 위하여 공유폴더에 자신을 복사하고, 메일주소를
추출하여 바이러스 메일을 발송한다.
o 다음과 같은 위치에 자신을 복사한다.
%Windir%mscvb32.exe
WindowsAll UsersStart MenuProgramsStartUp
Documents and SettingsAll UsersStart MenuProgramsStartup
o 다음과 같은 파일을 생성한다.
%Windir%msddr.dll
%Windir%msddr.dat
o 부팅시 바이러스가 실행되게 레지스트리 키에 등록한다. HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
System MScvb=%Windir%mscvb32.exe
단, OS가 Windows NT/2000/XP일 경우 레지스트리의 다음과 같은 경로에 등록된다. HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
System MScvb=%Windir%mscvb32.exe
☆ 감염시 치료방법
o 백신프로그램을 최신버전으로 업데이트 한 다음 검사하여 치료한다.
o 백신으로 치료가 안될 경우 작업관리자를 이용해 바이러스 프로세스를
중단시키고 생성된 파일을 삭제하고 추가된 레지스트리 값을 삭제한다.
☆ 예방법
출처가 불분명한 메일이거나, 보낸 사람의 메일 주소가bill@microsoft.com 일 경우 읽지 말고 삭제한다.
공유폴더는 읽기 권하만 부여하고, 쓰기 권한을 부여할 경우 비밀번호를 설정한다.
☆ 참조사이트
:
http://securityresponse.symantec.com/avcenter/venc/data/w32.sobig.c@mm.html:
http://vil.nai.com/VIL/newly-discovered-viruses.asp
--------------[웜바이러스] 주의예보 발령내용-------------------------
