게시판 뷰
게시판 뷰페이지
Win32/Mimial.worm 웜 바이러스 예보
작성자 박종욱
날짜 2003.11.03
조회수 4,115
◈ 개요
2003년 10월 31일 최초 발견되었으며 짧은 시간에 많은 감염 보고가 되었으며 메일에 첨부된 PHOTOS.ZIP이나 READNOW.ZIP파일을 통해 전파되는 웜으로 특정 사이트를 공격하는 증상이 있다. 웜 예방 및 치료를 위해 바이로봇을 업데이트(11월 2일자)를 적용하여 진단 및 치료를 권고한다. ◈ 다른 이름
W32/Mimial.c@mm, WORM_MIMAIL.C, W32/Mimail-C, I-Worm/Mimail.C, Bics, I-Worm.WatchNet, Win32.HLLM.Darkprof ◈ 확산 방법
이 웜은 자체 내장된 SMTP 엔진을 이용하여 e-메일을 보내면서 확산되며, 실제로 시스템을 파괴 하는 행위는 하지 않지만 첨부된 ZIP화일을 의심없이 실행하면, 감염이 이루어지고 감염된 컴퓨 터에서 이메일 주소를 추출하여, 계속 대용량의 메일을 발송하기 때문에 메일서버에 과부하를 줄 수 있고, 감염된 시스템은 심한 경우 인터넷을 사용하기 어려울 수도 있다. 메일의 주소, 제목과 첨부파일을 다음과 같이 위장하여 전파한다. - 보낸 사람 : james@(임의의 도메인 네임) or John@(임의의 도메인 네임) - 메일 제목 : Re[2]: our private photos (가변적인 문자열 추가) or don't be late! - 메일 본문 : 다음과 같은 내용이 첨부된다. (내용1) Hello Dear!, Finally i've found possibility to right u, my lovely girl :) All our photos which i've made at the beach (even when u're without ur bh:)) photos are great! This evening i'll come and we'll make the best SEX :) Right now enjoy the photos. Kiss, James. (본문 끝에 임의의 문자열 추가) (내용2) Will meet tonight as we agreed, because on Wednesday I don't think I'll make it, so don't be late. And yes, by the way here is the file you asked for. It's all written there. See you. # 첨부파일 - READNOW.ZIP(10,912 바이트) : READNOW.DOC.SCR(10,784 바이트)을 포함하며 이 파일이 실제 웜 파일이다. - photos.zip (12,958 Byte) : photos.jpg.exe (12,832 Byte)을 포함하며 이 파일이 실제 웜 파일이다. ◈ 감염후 증상
1.압축되어 있는 photos.zip (photos.jpg.exe)READNOW.ZIP(READNOW.DOC.SCR) 파일을 실행 시키면 윈도우 시스템 폴더에 다음과 같은 파일이 생성된다 Netwatch.exe / cnfrm.exe : 웜 본체이며 바이로봇으로 진단 및 삭제 가능하다. Zip.tmp : Photos.zip or READNOW.ZIP 파일 Exe.tmp : photos.jpg.exe or READNOW.DOC.SCR Eml.tmp : 웜이 추출한 E-메일주소 목록 2.다음과 같은 레지스트리가 생성된다. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run = "시스템디렉토리 \netwatch.exe 이나 Cnfrm32" 3.아래 사이트로 Dos 공격을 한다. www.darkprofits.com www.darkprofits.net darkprofits.com darkprofits.net fetchard.biz fethard-finance.com spews.org spamhaus.org spamcop.net ◈ 치료 방법
※위와 같은 형태의 메일을 받을 경우, 첨부파일을 실행하지 말고 메일을 삭제한다. - 자동 치료 방법 : 2003년 11월 2일자 바이로봇 정기 업데이트시 이 웜에 대한 진단 및 치료 (관련 파일 삭제) 가능하다. - 수동 치료 방법 ①윈도우 바탕화면의 『시작』』『실행』을 클릭한 후, 실행창에 regedit를 입력하여 레지스트리 편집기를 실행한다. ②레지스트리 편집기의 좌측창에서 아래의 순서대로 진행하여 항목을 찾는다. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ③레지스트리 편집기의 우측창에서 새로 생성된 레지스트리키를 삭제한다. 예를들어) “Netwatch32"="%Windows%netwatch.exe 이나 Cnfrm32※ 잘못된 레지스트리의 수정작업은 시스템의 이상을 발생시킬 수 있으므로 수정 작업시 주의 하도록 한다. ④시스템을 재시작한다. ⑤윈도우 바탕화면의 『『시작』』『검색』을 클릭한 후, 아래의 파일들을 찾아 삭제한다. Netwatch.exe이나 Cnfrm32 ZIP.TMP EXE.TMP EML.TMP ◈ 추가정보/참조사이트
하우리 : I-Worm.Win32.Mimail.12832 / I-Worm.Win32.Mimail.10784 안철수 연구소 : Win32/Mimail.worm.12832 / Win32/Mimail.worm.10784 정보보호진흥원 : WORM_MIMAIL.C 웜 바이러스 예보 / WORM_MIMAIL.D 웜 바이러스 예보 ◈ 문의처
정보통신원 시스템 운영과 (서울) 2989 (천안) 1723