본문바로가기 3.133.120.10
모바일 메뉴 닫기
상단배경사진

DCU광장

Community

메인으로

바이러스/보안게시판

[웜 바이러스경보] W32.Sobig.E@mm
작성일 : 2003/06/27 작성자 : 전산정보팀 조회수 : 9293
한국정보보호진흥원에서 W32.Sobig.E@mm 웜 바이러스 주의예보가 발령되었습니다.
메일의 첨부화일과 네트워크 공유를 통해서 전파되는 웜 바이러스로 기존의 바이러스
퇴치 방법과 같이 백신 소프트웨어를 업데이트하고 관리자의 비밀번호를 추측하기
어렵게 하여야 하며, 공유폴더에 대한 비밀번호또한 추측하기 어려운 상태로 작성하여야
웜 바이러스에 감염되는것을 방지할 수 있습니다.
 
최근 windows 2000계열의 운영체제를 사용하시는 사용자가 늘어나면서,
보안관련하여 여러가지 문제점이 나타나고 있는데, windows 2000계열의 서버에서는
운영체제 설치시에 백신 소프트웨어를 설치하고 항상 최신상태를 유지 하여야 합니다.
windows 2000의 경우 바이러스에 감염되면 퇴치를 못하고 포맷을 하여야 하는
경우도 발생하니 주의 하시기 바랍니다.
 
V3 백신의 경우 2003년 6월 26일 이후의 버젼으로 업데이트해야 합니다.
 
-------------------[ 주의예보 발령내용 ]----------------------------
안녕하십니까?
한국정보보호진흥원의 CERTCC-KR 입니다.

W32.Sobig.E@mm 웜 바이러스 예보 (웜)바이러스 주의예보를발령합니다.

------------------------------------------

[바이러스 주의예보VN2003292]

☆ 개요

W32.Sobig.E@mm 웜 바이러스는 메일의 첨부파일과 네트워크 공유를 통해
전파되며, 현재 국내로 유입되어 빠른 속도로 확산되고 있어 윈도우즈 사용자
들의 주의가 요구된다.


☆ 전파방법

메일과 공유폴더를 통해 전파된다.

o 메일을 통해 전파되는 경우
확장자가 다음과 같은 파일에서 이메일 주소를 추출하여 아래와 같은 형식으
로 바이러스 메일을 발송한다.
WAB, DBX, HTM, HTML, EML, TXT

보낸사람 : 일정하지 않음 (변조되어 발송됨)
제목 : (다음 중 임의로 선택되어짐)
- referer.pif
- 004448554.pif
- re.document.pif
- new_document.pif
- submited.pif
- Screensaver.scr
- movie.pif
- Applications.pif
- Application.pif
- Your application
- Re: Re: Document
- Re: Re: Application ref. 003644
- Re: Documents
- Re: Screensaver
- Re: Submited (Ref: 003746)
- Re: Movies
- Re: Movie
- Re: Application

본문내용 :
Please see the attached file for details

첨부파일 : (다음 중 임의로 선택되어짐)
- Movie.zip (압축해제 : Movie.pif)
- screensaver.zip (압축해제 : sky_world.scr)
- document.zip (압축해제 : document.pif)
- application.zip (압축해제 : application.pif)
- Your_details.zip(압축해제 : details.pif)

o 네트워크 공유를 통해 전파되는 경우
다음의 경로에 읽기/쓰기가 가능하면 자신을 복사한다.
- Documents and SettingsAll UsersStart MenuProgramsStartup
- WindowsAll UsersStart MenuProgramsStartup


☆ 피해증상

o 바이러스를 전파하기 위하여 공유폴더에 자신을 복사하고, 메일주소를 추
출하여 바이러스 메일을 발송한다.

o 다음과 같은 위치에 자신을 복사한다.
자신을 윈도우 폴더(일반적으로 c:winnt, c:windows)로 다음과 같은
파일명으로 복사한다.
- winssk32.exe (86,528 바이트) -> 웜 복사본
- msrrf.dat -> 수집된 메일주소가 암호화된 형태로 추정

o 레지스트리 키에 등록한다.
- HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
SSK Service = C:(윈도우 폴더)WinSSK32.EXE

- HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
SSK Service = C:(윈도우 폴더)WinSSK32.EXE

o 특정한 URL 에서 파일을 내려 받아 실행할 수 있다.


☆ 감염시 치료방법

o 백신프로그램을 최신버전으로 업데이트 한 다음 검사하여 치료한다.
o 백신으로 치료가 안될 경우 작업관리자를 이용해 바이러스 프로세스를 중단시키고 생성된 파일을 삭제하고 추가된 레지스트리 값을 삭제한다.


☆ 예방법

출처가 불분명한 메일일 경우 읽지 말고 삭제하며, 네트워크 공유시 읽기/
쓰기를 허용할 경우 반드시 패스워드를 설정해야 바이러스 감염을 막을 수 있다.


☆ 참조사이트

http://hauri.co.kr/virus/vir_read.html?code=IWW3000408
http://home.ahnlab.com/smart2u/virus_detail_1175.html
http://securityresponse.symantec.com/avcenter/venc/data/w32.sobig.e@mm.html
: http://vil.nai.com/vil/content/v_100429.htm
: http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?Name=WORM_SOBIG.E

 
-------------------[ 주의예보 발령내용 ]----------------------------
댓글 작성
최상단 이동 버튼