1. /
  2. 보안 연구소/
  3. W32.Mydoom.M@mm
  4. W32.Mydoom.M@mm
  • 추가

W32.Mydoom.M@mm

위험 수준2: 낮음

발견됨:
2004년 7월 26일
업데이트됨:
2007년 2월 13일 12:26:33 PM
다른 이름:
W32/Mydoom.o@MM [McAfee], W32/MyDoom-O [Sophos], WORM_MYDOOM.M [Trend Micro], Win32.Mydoom.O [Computer Assoc, I-Worm.Mydoom.m [Kaspersky], W32/Mydoom.N.worm [Panda]
유형:
Worm
감염 부분 크기:
varies
영향을 받는 시스템:
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

W32.Mydoom.M@mm이 실행 될 때, 다음과 같은 현상이 발생합니다.
  1. %Windows 폴더%에 아래의 파일을 저장합니다.

    • java.exe
    • services.exe


      참고: Windows 폴더는 운영 체제마다 위치가 다를 수 있습니다. 이 바이러스는 Windows 폴더(기본 위치는 C:\Windows 또는 C:\Winnt)를 찾아 이곳에 저장되어 있는 파일을 감염시킵니다.

  2. 다음 레지스트리에

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    아래의 값를 추가합니다.

    "Services" = "%Windir%\services.exe"
    "JavaVM" = "%Windir%\java.exe"

    이로써, Windows를 시작할 때 웜이 시작됩니다.


  3. 아래와 같은 로그 파일을 생성할 수도 있습니다.

    • %Temp 폴더 %\zincite.log
    • %Temp 폴더%\[무작위 파일 이름].log

  4. 아래와 같은 문자를 포함한 폴더에 웜을 복제합니다.

    • USERPROFILE
    • yahoo.com

  5. 아래의 확장자를 가진 파일에서 메일 주소를 수집합니다.

    • .doc
    • .txt
    • .htm
    • .html

  6. Microsoft Outlook 프로그램이 실행중인 경우, 수집한 메일 주소로 웜을 포함한 메일을 전송합니다.

    웜이 전송한 메일의 자세한 특성은 아래의 추가 정보란에서 보실수 있습니다.


권장 사항

시만텍 보안 연구소는 모든 사용자와 관리자가 다음과 같은 최선의 기본 보안 원칙을 준수할 것을 권장합니다.

  • 불필요한 서비스는 종료하고 제거하십시오. 많은 운영 체제가 FTP 서버, 텔넷, 웹 서버와 같이 중요하지 않은 보조 서비스를 기본적으로 설치합니다. 이러한 서비스는 공격의 수단으로 이용됩니다. 이러한 서비스를 제거하면 복합적인 위협의 공격 수단이 줄어들고 패치 업데이트를 통해 관리해야 하는 서비스가 적어집니다.
  • 복합적인 위협이 네트워크 서비스에 침입한 경우 패치를 적용할 때까지 해당 서비스의 실행을 중지하거나 액세스를 차단하십시오.
  • 패치를 항상 최신 버전으로 유지하십시오. 특히 공용 서비스를 호스팅하고 HTTP, FTP, 메일, DNS 서비스와 같이 방화벽을 거쳐 액세스하는 컴퓨터를 최신 상태로 관리해야 합니다. 예를 들어, 모든 Windows 기반 컴퓨터에는 최신 서비스 팩이 설치되어 있어야 합니다. 또한 이 보고서나 신뢰할 수 있는 보안 게시판 또는 공급업체 웹 사이트에서 제공하는 보안 업데이트를 적용하십시오.
  • 암호 정책을 실행하십시오. 컴퓨터가 위험에 노출되더라도 복잡한 암호를 사용하면 암호 파일의 해독을 막을 수 있습니다. 따라서 컴퓨터가 감염된 경우 피해를 방지하거나 최소화할 수 있습니다.
  • .vbs, .bat, .exe, .pif .scr 파일 등 주로 바이러스를 확산시키는 데 사용되는 첨부 파일이 있는 경우 이메일을 차단하거나 제거하도록 이메일 서버를 구성하십시오.
  • 감염된 컴퓨터를 신속하게 격리하여 추가 손상을 방지하십시오. 사후 분석을 실시하고 신뢰할 수 있는 미디어를 사용하여 컴퓨터를 복원하십시오.
  • 내용을 알 수 없는 첨부 파일을 받은 경우 직원들이 이러한 파일을 열지 않도록 하십시오. 인터넷에서 소프트웨어를 다운로드했을 때 바이러스 검사를 거치지 않은 경우 이 소프트웨어를 실행하지 마십시오. 특정 브라우저 취약점이 보안되지 않은 경우 위험에 노출된 웹 사이트를 방문하기만 해도 감염될 수 있습니다.
작성자:John Canavan
요약| 기술적 세부 사항| 제거
ISTR V16