sarangbi자료실이랍니다

 

 이 곳은 인터넷이나 일반 컴퓨터의 사용에 유용한 필수 자료들을 모아 놓은 공간이랍니다
 대부분 프리웨어로 배포되어지는 자료들과 해당 자료에 대한 스터디도 함께 하는 공간이므로
 방문하시는 님들께서도 자신이 알고 있는 부분들에 대한 정보 공유를 해 주시면 감사하지요


이름:지니
2001/7/23(월) 21:33
How are you?메일 치료백신  


몇일전 양주예님 께서 걸릴뻔 하셨던 How are you 바이러스를 치료하는 전용백신 입니다.


바이러스 증상



* 자체 SMTP 기능이 있어 별도의 메일 응용 프로그램이 없어도 인터넷 연결만 되어 있다면 메일을 발송한다.



* 감염된 사용자의 하드 디스크내 파일이 첨부되어 발송되므로 사용자 정보유출의 문제가 있다.



바이러스 내용



Win32/Sircam.worm 은 W32/SirCam@MM(McAfee), I-Worm.Sircam(Kasperskylabs),W32.Sircam.Worm@mm(Symantec), TROJ_SIRCAM.A(Trend Micro)로 불리는 웜으로 국내에는 2001년 7월 처음 발견되었다.



이 웜은 웜 과 정상 파일이 같이 붙어있는데 웜 실행시 웜이 일단 실행된후 뒤에 붙은 정상 프로그램을 같이 실행 시켜 주게 된다. 웜이 실행 되면 C:\RECYCLED 폴더에 숨김속성으로 SIRC32.EXE 파일과 웜뒤에 붙어 있는 정상 파일이 생성 되며 TEMP 폴더 (일반적으로, C:\WINDOWS\TEMP)에도 웜의 뒤에 붙어 있는 정상 파일을 생성 시킨다.



TEMP 폴더에 생성된 파일이 실제적으로 사용 되는 파일로 수정등의 작업을 했을때 이곳의 파일이 수정된다. 또한 윈도우 시스템 폴더 (일반적으로 c:\WINDOWS\SYSTEM) 폴더에 SCam32.EXE 파일이 생성되며 이 파일이 윈도우 부팅시 실행되는 실제 파일이다.







웜이 실행되면 레지스트리에 다음의 값이 추가 된다. HKEY_CLASSES_ROOT\exefile\shell\open\command 항목에

기본값 = "C:\recycled\SirC32.exe" "%1" %*







위의 값이 추가 되면 윈도우에서 실행되는 모든 EXE 파일 실행시 웜이 먼저 실행 하기 때문에 윈도우가 느려질수 있다.



HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

\RunServices 항목에 Driver32 = "C:\WINDOWS\SYSTEM\SCam32.exe"







HKEY_LOCAL_MACHINE\Software 메뉴에 SirCam 메뉴가 추가 된다.



웜은 E-MAIL 로 전파가 되며 다음과 같은 형식으로 전파가 된다.



제목 : 첨부되는 파일 이름과 동일



영어 메일

첫줄 내용: Hi! How are you?



가운데 들어 가는 내용은 다음의 4개의 문장중 랜덤하게 하나가 선택되어 포함된다.



I send you this file in order to have your advice

I hope you can help me with this file that I send

I hope you like the file that I sendo you

This is the file with the information that you ask for



마지막 내용 : See you later. Thanks



스페인어 메일

첫줄 내용 : Hola como estas ?



가운데 들어 가는 내용은 다음의 4개의 문장중 랜덤하게 하나가 선택되어 포함된다.



Te mando este archivo para que me des tu punto de vista

Espero me puedas ayudar con el archivo que te mando

Espero te guste este archivo que te mando

Este es el archivo con la informaci? que me pediste



마지막 내용 : Nos vemos pronto, gracias.







윈도우 시스템 폴더 (일반적으로 C:\WINDOWS\SYSTEM)에 생성되는 파일중 SCD.DLL, SCI1.DLL, SCW1.DLL 의 파일등이 생성 되는데 이중 SCI1.DLL 파일의 경우 인터넷 익스 플로러의 캐쉬 디렉토리에서 추출한 메일 주소이며 SCW1.DLL 파일의 경우 윈도우 주소록에 존재 하는 사용자의 메일 주소를 저장해놓은 파일이다. E-MAIL 로 웜 전파시 이 파일을 참고 해서사용자들에게 전파 되게 된다.







E-MAIL 로 전파시 자체적으로 SMTP 서버를 사용하게 되기 때문에 인터넷만 연결 가능한 상태라면 쉽게 퍼지게 된다.







                    답변/관련 쓰기 수정/삭제     이전글 다음글                  
번호제 목이름작성일조회
49  생과사의 중간계 길안내-49일 지니2010 08 12690
48  당신도 칼슘부족? 지니2009 06 011588
47  How are you?메일 치료백신 지니2001 07 23848
46  물보라 태그 퍼가세요 지니2001 07 04633
45  셰인도슨-유튜브영상-10만달러 이상번 10중 한명 지니2010 08 26919
44  Adobe Acrobat Reader 5 후니2001 10 051211

 
처음 이전 다음 목록 쓰기

 top