◈ 개요
2003년 10월 31일 최초 발견되었으며 짧은 시간에 많은 감염 보고가 되었으며 메일에 첨부된
PHOTOS.ZIP이나 READNOW.ZIP파일을 통해 전파되는 웜으로 특정 사이트를 공격하는 증상이
있다. 웜 예방 및 치료를 위해 바이로봇을 업데이트(11월 2일자)를 적용하여 진단 및 치료를
권고한다.
◈ 다른 이름
W32/Mimial.c@mm, WORM_MIMAIL.C, W32/Mimail-C, I-Worm/Mimail.C, Bics,
I-Worm.WatchNet, Win32.HLLM.Darkprof
◈ 확산 방법
이 웜은 자체 내장된 SMTP 엔진을 이용하여 e-메일을 보내면서 확산되며, 실제로 시스템을 파괴
하는 행위는 하지 않지만 첨부된 ZIP화일을 의심없이 실행하면, 감염이 이루어지고 감염된 컴퓨
터에서 이메일 주소를 추출하여, 계속 대용량의 메일을 발송하기 때문에 메일서버에 과부하를
줄 수 있고, 감염된 시스템은 심한 경우 인터넷을 사용하기 어려울 수도 있다.
메일의 주소, 제목과 첨부파일을 다음과 같이 위장하여 전파한다.
- 보낸 사람 : james@(임의의 도메인 네임) or John@(임의의 도메인 네임)
- 메일 제목 : Re[2]: our private photos (가변적인 문자열 추가) or don't be late!
- 메일 본문 : 다음과 같은 내용이 첨부된다.
(내용1)
Hello Dear!,
Finally i've found possibility to right u, my lovely girl :)
All our photos which i've made at the beach (even when u're without ur bh:))
photos are great! This evening i'll come and we'll make the best SEX :)
Right now enjoy the photos.
Kiss, James. (본문 끝에 임의의 문자열 추가)
(내용2)
Will meet tonight as we agreed, because on Wednesday I don't think I'll make it,
so don't be late. And yes, by the way here is the file you asked for.
It's all written there. See you.
# 첨부파일
- READNOW.ZIP(10,912 바이트)
: READNOW.DOC.SCR(10,784 바이트)을 포함하며 이 파일이 실제 웜 파일이다.
- photos.zip (12,958 Byte)
: photos.jpg.exe (12,832 Byte)을 포함하며 이 파일이 실제 웜 파일이다.
◈ 감염후 증상
1.압축되어 있는 photos.zip (photos.jpg.exe) 및 READNOW.ZIP(READNOW.DOC.SCR) 파일을 실행
시키면 윈도우 시스템 폴더에 다음과 같은 파일이 생성된다
Netwatch.exe / cnfrm.exe : 웜 본체이며 바이로봇으로 진단 및 삭제 가능하다.
Zip.tmp : Photos.zip or READNOW.ZIP 파일
Exe.tmp : photos.jpg.exe or READNOW.DOC.SCR
Eml.tmp : 웜이 추출한 E-메일주소 목록
2.다음과 같은 레지스트리가 생성된다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run = "시스템디렉토리
\netwatch.exe 이나 Cnfrm32"
3.아래 사이트로 Dos 공격을 한다.
www.darkprofits.com
www.darkprofits.net
darkprofits.com
darkprofits.net
fetchard.biz
fethard-finance.com
spews.org
spamhaus.org
spamcop.net
◈ 치료 방법
※위와 같은 형태의 메일을 받을 경우, 첨부파일을 실행하지 말고 메일을 삭제한다.
- 자동 치료 방법 : 2003년 11월 2일자 바이로봇 정기 업데이트시 이 웜에 대한 진단 및 치료
(관련 파일 삭제) 가능하다.
- 수동 치료 방법
①윈도우 바탕화면의 『시작』』 → 『실행』을 클릭한 후, 실행창에 regedit를 입력하여
레지스트리 편집기를 실행한다.
②레지스트리 편집기의 좌측창에서 아래의 순서대로 진행하여 항목을 찾는다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
③레지스트리 편집기의 우측창에서 새로 생성된 레지스트리키를 삭제한다.
예를들어) “Netwatch32"="%Windows%netwatch.exe 이나 Cnfrm32”
※ 잘못된 레지스트리의 수정작업은 시스템의 이상을 발생시킬 수 있으므로 수정 작업시 주의
하도록 한다.
④시스템을 재시작한다.
⑤윈도우 바탕화면의 『『시작』』 → 『검색』을 클릭한 후, 아래의 파일들을 찾아 삭제한다.
Netwatch.exe이나 Cnfrm32
ZIP.TMP
EXE.TMP
EML.TMP
◈ 추가정보/참조사이트
하우리 : I-Worm.Win32.Mimail.12832 / I-Worm.Win32.Mimail.10784
안철수 연구소 : Win32/Mimail.worm.12832 / Win32/Mimail.worm.10784
정보보호진흥원 : WORM_MIMAIL.C 웜 바이러스 예보 / WORM_MIMAIL.D 웜 바이러스 예보
◈ 문의처
정보통신원 시스템 운영과 (서울) 2989
(천안) 1723
- 공지사항 등 게시판의 게시 내용에 대한 문의는 해당 게시물에 표기된 연락처나 담당부서(VOC)로 문의해 주시기 바랍니다.