W32.Mydoom.M@mm은 자체 SMTP 엔진을 이용하여 감염된 시스템에서 수집한 메일 주소로 대량으로 메일을 전송하는 웜 입니다.
또한, UPX으로 압축되었습니다. Backdoor.Zincite.A로 탐지되는 백도어(Backdoor)를 TCP 포트 1034에 개방합니다.
자동 제거 방법
시만텍 보안 연구소(Security Response)에서는 W32.Mydoom.M@mm을 제거할 수 있는 전용 제거 도구를 제작하였습니다. 도구를 사용하는 것이 가장 쉽게 웜을 제거할 수 있는 방법입니다.
발신인: 위장된 주소(실제 발신인의 주소로 다를 수 있음)
제목: (다음중 하나임)
- say helo to my litl friend
- click me baby, one more time
- hello
- error
- status
- test
- report
- delivery failed
- Message could not be delivered
- Mail System Error - Returned Mail
- Delivery reports about your e-mail
- Returned mail: see transcript for details
- Returned mail: Data format error
메시지: 메일 메시지의 내용은 미리 정해놓은 변형에 의해 다양할 수 있습니다. 다음은 변할 수 있는 메시지의 내용은 "ㅣ"으로 구분하였습니다.
- Dear user {<수신인 메일 주소>|of <수신인 메일 도메인>},{ {{M|m}ail {system|server} administrator|administration} of <수신인 메일 도메인> would like to {inform you{ that{:|,}|}|let you know {that|the following}{.|:|,}}|||||}
{We have {detected|found|received reports} that y|Y}our {e{-|}mail |}account {has been|was} used to send a {large|huge} amount of {{unsolicited{ commercial|}|junk} e{-|}mail|spam}{ messages|} during {this|the {last|recent}} week.
{We suspect that|Probably,|Most likely|Obviously,} your computer {had been|was} {compromised|infected{ by a recent v{iru}s|}} and now {run|contain}s a {trojan{ed|}|hidden} proxy server.
{Please|We recommend {that you|you to}} follow {our |the |}instruction{s|} {in the {attachment|attached {text |}file} |}in order to keep your computer safe.
{{Virtually|Sincerely} yours|Best {wishe|regard}s|Have a nice day},
{<수신인 메일 도메인> {user |technical |}support team.|The <수신인 메일 도메인> {support |}team.}
- {The|This|Your} message was{ undeliverable| not delivered} due to the following reason{(s)|}:
Your message {was not|could not be} delivered because the destination {computer|server} was
{not |un}reachable within the allowed queue period. The amount of time
a message is queued before it is returned depends on local configura-
tion parameters.
Most likely there is a network problem that prevented delivery, but
it is also possible that the computer is turned off, or does not
have a mail system running right now.
- Your message {was not|could not be} delivered within <random number> days:
{{{Mail s|S}erver}|Host} <메일 발송에 이용된 호스트>} is not responding.
The following recipients {did|could} not receive this message:
<<수신인 메일 주소>>
Please reply to postmaster@{<발신인 메일 도메인>|<수신인 메일 도메인>}
if you feel this message to be in error.
The original message was received at [current time]{
| }from {<발신인 메일 도메인> <메일 발송에 이용된 호스트>]|{<메일 발송에 이용된 호스트>]|<메일 발송에 이용된 호스트>]}}
----- The following addresses had permanent fatal errors -----
{<<수신인 메일 주소>>|<수신인 메일 주소>}
{----- Transcript of {the ||}session follows -----
... while talking to {host |{mail |}server ||||}{<수신인 메일 도메인>.|<메일 발송에 이용된 호스트>]}:
{>>> MAIL F{rom|ROM}:[From address of mail]
<<< 50$d {[From address of mail]... |}{Refused|{Access d|D}enied|{User|Domain|Address} {unknown|blacklisted}}|554 <<수신인 메일 주소>>... {Mail quota exceeded|Message is too
large}
554 <<수신인 메일 주소>>... Service unavailable|550 5.1.2 <<수신인 메일 주소>>... Host unknown (Name server: host not found)|554 {5.0.0 |}Service unavailable; <메일 발송에 이용된 호스트>] blocked using {relays.osirusoft.com|bl.spamcop.net}{, reason: Blocked|}
Session aborted{, reason: lost connection|}|>>> RCPT To:<<수신인 메일 주소>>
<<< 550 {MAILBOX NOT FOUND|5.1.1 <<수신인 메일 주소>>... {User unknown|Invalid recipient|Not known here}}|>>> DATA
{<<< 400-aturner; %MAIL-E-OPENOUT, error opening !AS as output
|}{<<< 400-aturner; -RMS-E-CRE, ACP file create failed
|}{<<< 400-aturner; -SYSTEM-F-EXDISKQUOTA, disk quota exceeded
|}<<< 400}|}
The original message was included as attachment
- {{The|Your} m|M}essage could not be delivered
참고: <메일 발송에 사용된 호스트>은 감염된 시스템이 사용하는 메일 서버 이름입니다. 웜이 감염된 시스템의 레지스트리에서 이름을 수집합니다.
첨부 파일: (다음중 하나임)
- readme
- instruction
- transcript
- mail
- letter
- file
- text
- attachment
- document
- message
첨부 파일 확장자:
아래의 문자를 포함하는 메일 주소에는 메일을 전송하지 않습니다.
- mailer-d
- spam
- abuse
- master
- sample
- accou
- privacycertific
- bugs
- listserv
- submit
- ntivi
- support
- admin
- page
- the.bat
- gold-certs
- feste
- not
- help
- foo
- soft
- site
- rating
- you
- your
- someone
- anyone
- nothing
- nobody
- noone
- info
|
- winrar
- winzip
- rarsoft
- sf.net
- sourceforge
- ripe.
- arin.
- google
- gnu.
- gmail
- seclist
- secur
- bar.
- foo.com
- trend
- update
- uslis
- domain
- example
- sophos
- yahoo
- spersk
- panda
- hotmail
- msn.
- msdn.
- microsoft
- sarc.
- syma
- avp
|
Rapid Release 및 Daily Certified 바이러스 정의에 대한 자세한 설명을 보려면 를 누르십시오.
