1. /
  2. 보안 연구소/
  3. W32.Mydoom.M@mm
  4. W32.Mydoom.M@mm
  • 추가

W32.Mydoom.M@mm

위험 수준2: 낮음

발견됨:
2004년 7월 26일
업데이트됨:
2007년 2월 13일 12:26:33 PM
다른 이름:
W32/Mydoom.o@MM [McAfee], W32/MyDoom-O [Sophos], WORM_MYDOOM.M [Trend Micro], Win32.Mydoom.O [Computer Assoc, I-Worm.Mydoom.m [Kaspersky], W32/Mydoom.N.worm [Panda]
유형:
Worm
감염 부분 크기:
varies
영향을 받는 시스템:
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP


W32.Mydoom.M@mm은 자체 SMTP 엔진을 이용하여 감염된 시스템에서 수집한 메일 주소로 대량으로 메일을 전송하는 웜 입니다.

또한, UPX으로 압축되었습니다. Backdoor.Zincite.A로 탐지되는 백도어(Backdoor)를 TCP 포트 1034에 개방합니다.


자동 제거 방법

시만텍 보안 연구소(Security Response)에서는 W32.Mydoom.M@mm을 제거할 수 있는 전용 제거 도구를 제작하였습니다. 도구를 사용하는 것이 가장 쉽게 웜을 제거할 수 있는 방법입니다.





발신인: 위장된 주소(실제 발신인의 주소로 다를 수 있음)

제목: (다음중 하나임)
  • say helo to my litl friend
  • click me baby, one more time
  • hello
  • error
  • status
  • test
  • report
  • delivery failed
  • Message could not be delivered
  • Mail System Error - Returned Mail
  • Delivery reports about your e-mail
  • Returned mail: see transcript for details
  • Returned mail: Data format error
메시지: 메일 메시지의 내용은 미리 정해놓은 변형에 의해 다양할 수 있습니다. 다음은 변할 수 있는 메시지의 내용은 "ㅣ"으로 구분하였습니다.
  • Dear user {<수신인 메일 주소>|of <수신인 메일 도메인>},{ {{M|m}ail {system|server} administrator|administration} of <수신인 메일 도메인> would like to {inform you{ that{:|,}|}|let you know {that|the following}{.|:|,}}|||||}
    {We have {detected|found|received reports} that y|Y}our {e{-|}mail |}account {has been|was} used to send a {large|huge} amount of {{unsolicited{ commercial|}|junk} e{-|}mail|spam}{ messages|} during {this|the {last|recent}} week.
    {We suspect that|Probably,|Most likely|Obviously,} your computer {had been|was} {compromised|infected{ by a recent v{iru}s|}} and now {run|contain}s a {trojan{ed|}|hidden} proxy server.
    {Please|We recommend {that you|you to}} follow {our |the |}instruction{s|} {in the {attachment|attached {text |}file} |}in order to keep your computer safe.
    {{Virtually|Sincerely} yours|Best {wishe|regard}s|Have a nice day},
    {<수신인 메일 도메인> {user |technical |}support team.|The <수신인 메일 도메인> {support |}team.}

  • {The|This|Your} message was{ undeliverable| not delivered} due to the following reason{(s)|}:
    Your message {was not|could not be} delivered because the destination {computer|server} was
    {not |un}reachable within the allowed queue period. The amount of time
    a message is queued before it is returned depends on local configura-
    tion parameters.
    Most likely there is a network problem that prevented delivery, but
    it is also possible that the computer is turned off, or does not
    have a mail system running right now.

  • Your message {was not|could not be} delivered within <random number> days:
    {{{Mail s|S}erver}|Host} <메일 발송에 이용된 호스트>} is not responding.
    The following recipients {did|could} not receive this message:
    <<수신인 메일 주소>>
    Please reply to postmaster@{<발신인 메일 도메인>|<수신인 메일 도메인>}
    if you feel this message to be in error.
    The original message was received at [current time]{
    | }from {<발신인 메일 도메인> <메일 발송에 이용된 호스트>]|{<메일 발송에 이용된 호스트>]|<메일 발송에 이용된 호스트>]}}
    ----- The following addresses had permanent fatal errors -----
    {<<수신인 메일 주소>>|<수신인 메일 주소>}
    {----- Transcript of {the ||}session follows -----
    ... while talking to {host |{mail |}server ||||}{<수신인 메일 도메인>.|<메일 발송에 이용된 호스트>]}:
    {>>> MAIL F{rom|ROM}:[From address of mail]
    <<< 50$d {[From address of mail]... |}{Refused|{Access d|D}enied|{User|Domain|Address} {unknown|blacklisted}}|554 <<수신인 메일 주소>>... {Mail quota exceeded|Message is too
    large}
    554 <<수신인 메일 주소>>... Service unavailable|550 5.1.2 <<수신인 메일 주소>>... Host unknown (Name server: host not found)|554 {5.0.0 |}Service unavailable; <메일 발송에 이용된 호스트>] blocked using {relays.osirusoft.com|bl.spamcop.net}{, reason: Blocked|}
    Session aborted{, reason: lost connection|}|>>> RCPT To:<<수신인 메일 주소>>
    <<< 550 {MAILBOX NOT FOUND|5.1.1 <<수신인 메일 주소>>... {User unknown|Invalid recipient|Not known here}}|>>> DATA
    {<<< 400-aturner; %MAIL-E-OPENOUT, error opening !AS as output
    |}{<<< 400-aturner; -RMS-E-CRE, ACP file create failed
    |}{<<< 400-aturner; -SYSTEM-F-EXDISKQUOTA, disk quota exceeded
    |}<<< 400}|}
    The original message was included as attachment

  • {{The|Your} m|M}essage could not be delivered


    참고: <메일 발송에 사용된 호스트>은 감염된 시스템이 사용하는 메일 서버 이름입니다. 웜이 감염된 시스템의 레지스트리에서 이름을 수집합니다.

첨부 파일: (다음중 하나임)
  • readme
  • instruction
  • transcript
  • mail
  • letter
  • file
  • text
  • attachment
  • document
  • message
첨부 파일 확장자:
  • cmd
  • bat
  • com
  • exe
  • pif
  • scr
아래의 문자를 포함하는 메일 주소에는 메일을 전송하지 않습니다.
  • mailer-d
  • spam
  • abuse
  • master
  • sample
  • accou
  • privacycertific
  • bugs
  • listserv
  • submit
  • ntivi
  • support
  • admin
  • page
  • the.bat
  • gold-certs
  • feste
  • not
  • help
  • foo
  • soft
  • site
  • rating
  • you
  • your
  • someone
  • anyone
  • nothing
  • nobody
  • noone
  • info
  • winrar
  • winzip
  • rarsoft
  • sf.net
  • sourceforge
  • ripe.
  • arin.
  • google
  • gnu.
  • gmail
  • seclist
  • secur
  • bar.
  • foo.com
  • trend
  • update
  • uslis
  • domain
  • example
  • sophos
  • yahoo
  • spersk
  • panda
  • hotmail
  • msn.
  • msdn.
  • microsoft
  • sarc.
  • syma
  • avp


안티바이러스 보호 일자

  • Rapid Release 최초 버전2004년 7월 26일
  • Rapid Release 최신 버전2014년 12월 25일 리비전040
  • Daily Certified 최초 버전2004년 7월 26일
  • Daily Certified 최신 버전2014년 12월 24일 리비전018
  • Weekly Certified 최초 릴리스 날짜2004년 7월 26일
Rapid Release 및 Daily Certified 바이러스 정의에 대한 자세한 설명을 보려면 여기를 누르십시오.

위협도 측정

확산도

  • 확산 수준:Low
  • 감염 개수:More than 1000
  • 사이트 개수:More than 10
  • 지역적 분포:Low
  • 위협 격리:Easy
  • 제거:Moderate

손상

  • 손상 수준:Medium
  • 페이로드 발생 조건:해당 사항 없음
  • 페이로드:해당 사항 없음
  • 대량 이메일 발송:대량 메일 전송함
  • 파일 삭제:해당 사항 없음
  • 파일 수정:해당 사항 없음
  • 기밀 정보 유출:해당 사항 없음
  • 성능 저하:해당 사항 없음
  • 시스템 불안정성 유발:해당 사항 없음
  • 보안 설정 손상:해당 사항 없음

배포

  • 배포 수준:High
  • 이메일 제목:다양함
  • 첨부 파일 이름:다양함. (확장자 .cmd, .bat, .com, .exe, .pif, .scr, 또는 .zip)
  • 첨부 파일 크기:다양함
  • 포트:해당 사항 없음
  • 공유 드라이브:해당 사항 없음
  • 감염 대상:해당 사항 없음
  • 첨부 파일 타임 스탬프:해당 사항 없음
작성자:John Canavan
ISTR V16