©1995-2006
시만텍 주식회사
All rights reserved.


법적 고지사항
개인정보보호정책

W32.Netsky.B@mm

W32.Netsky.B@mm은 자체 SMTP 엔진을 사용하여 로컬 드라이브 및 공유 드라이브에서 수집한 메일 주소로 메일을 대량으로 발송하는 웜 입니다. 또한 드라이브 문자(C:- Z:) 검색하여 "Share" 또는 "Sharing"을 포함하는 폴더 이름을 발견하면 그 곳에 자신을 복제합니다.

웜이 발송한 메일의 제목 및 첨부 파일의 형태는 다양합니다.

• 베타 바이러스 정의 27994, 2월 18일 오전 3시 30분(미국 서부 시간), 또는 이후에 제작된 바이러스 정의는 웜을 탐지할 수 있습니다.
• 시만텍 보안 연구소(Symantec Security Response)에서 W32.Netsky.B@mm 감염을 제거할 수 있는 전용 제거 도구를 제작 배포하고 있습니다. 도구를 이용하시면 손쉽게 감염을 제거할 수 있습니다.

다른 이름:	W32/Netsky.b@MM [McAfee], W32/Netsky.B.worm [Panda], WORM_NETSKY.B [Trend Micro], Moodown.B [F-Secure], I-Worm.Moodown.b [Kaspersky]
변종:	W32.Netsky@mm
바이러스 종류:	Worm
감염 길이:	22,016 bytes
영향을 받는 시스템:	Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
영향을 받지 않는 시스템:	Linux, Macintosh, UNIX, Windows 3.x

바이러스 정의 (Intelligent Updater) * 2004/02/18 바이러스 정의 (LiveUpdate™) ** 2004/02/18 * Intelligent Updater 바이러스 정의는 매일 제공되며 직접 다운로드 및 설치해야 합니다. 직접 다운로드하려면 여기를 누르십시오. ** 일반적으로 LiveUpdate 바이러스 정의는 매주 목요일에 제공됩니다. LiveUpdate 사용에 대한 지침은 여기를 누르십시오.

감염 위험도: 감염된 PC: 1000개 이상 감염된 사이트: 10개 이상 지리적 확산도: 중간 위험도: 쉬움 제거 가능성: 보통

위험도 감염 위험도: 높음 피해도: 낮음 배포: 높음

피해도

• 페이로드 발생 조건: 해당 사항 없음
• 감염 증상: 해당 사항 없음
  • 대량 전자 메일 발송: 해당 사항 없음
  • 파일 삭제: 해당 사항 없음
  • 파일 수정: 해당 사항 없음
  • 성능 저하: 해당 사항 없음
  • 시스템 불안정성 유발: 해당 사항 없음
  • 개인 정보 유출: 해당 사항 없음
  • 보안 설정 손상: 해당 사항 없음

배포

• 전자 메일 제목: 해당 사항 없음
• 첨부 파일 이름: 해당 사항 없음
• 첨부 파일 크기: 해당 사항 없음
• 첨부 파일 시간 기록 (time stamp): 해당 사항 없음
• 포트: 해당 사항 없음
• 공유 드라이브: 해당 사항 없음
• 감염 대상: 해당 사항 없음

W32.Netsky@mm 웜이 실행 될 때, 다음과 같은 현상이 발생합니다.

1. "AdmSkynetJKIS003" 뮤텍스(mutex)를 생성합니다. 이 뮤텍스는 웜이 한번 만 실행되도록 합니다.
   
   
2. 아래의 메시지를 담은 대화창이 나타날 수도 있습니다.
   
   The file could not be opened!
   
   
3. %Windows 폴더%\services.exe으로 복제합니다.
   
   

   ---

   참고: %Windows 폴더% 은 변수입니다. 웜은 Windows 설치 폴더(기본 설정: C:\Windows 또는 C:\Winnt)의 위치를 파악하고 그 곳에 자신을 복제해 놓습니다.

   ---

4. 다음 레지스트리에
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   
   아래의 값을 추가합니다.
   
   "service" = "%Windir%\services.exe -serv"
   
   이렇게 하면 Windows를 다시 시작할 때 웜이 실행됩니다.
   
   
5. 다음 레지스트리에서
   
   
   • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
     
     아래의 값을 삭제합니다.
     
     
   • "Taskmon"
   • "Explorer"
     
     
6. 다음 레지스트리에서
   
   
   • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
     
     아래의 값을 삭제합니다.
     
     
   • "KasperskyAV"
   • "System."
     
     
7. 다음 레지스트리 키를 삭제합니다.
   
   HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
   
   
8. 다음과 같은 확장자로 된 파일에서 전자 메일 주소를 수집합니다.
   
   
   • .msg
   • .oft
   • .sht
   • .dbx
   • .tbb
   • .adb
   • .doc
   • .wab
   • .asp
   • .uin
   • .rtf
   • .vbs
   • .html
   • .htm
   • .pl
   • .php
   • .txt
   • .eml
     
     
9. 드라이브 문자(C:부터 Z:까지)를 검색하여 "Share" 또는 "Sharing" 문자를 드라이브 이름에 포함하고 있는지 확인합니다.
   
   문자를 포함하고 있는 드라이브(CD-ROM 제외)와 하위 폴더에 자신을 아래에 나열된 파일로 복사합니다.
   
   
   • doom2.doc.pif
   • sex sex sex sex.doc.exe
   • rfc compilation.doc.exe
   • dictionary.doc.exe
   • win longhorn.doc.exe
   • e.book.doc.exe
   • programming basics.doc.exe
   • how to hack.doc.exe
   • max payne 2.crack.exe
   • e-book.archive.doc.exe
   • virii.scr
   • nero.7.exe
   • eminem - lick my pussy.mp3.pif
   • cool screensaver.scr
   • serial.txt.exe
   • office_crack.exe
   • hardcore porn.jpg.exe
   • angels.pif
   • porno.scr
   • matrix.scr
   • photoshop 9 crack.exe
   • strippoker.exe
   • dolly_buster.jpg.pif
   • winxp_crack.exe
     
     
10. 자체 SMTP 엔진을 사용하여 수집한 메일 주소로 스스로 복제 전송합니다.
    
    이 전자 메일은 다음과 같은 특징을 지녔습니다.
    
    발신자: (위장된 발신 주소)
    
    
    제목: 다음 중 하나가 해당됩니다.
    
    
    • hi
    • hello
    • read it immediately
    • something for you
    • warning
    • information
    • stolen
    • fake
    • unknown
      
      
      메시지: 다음 중 하나가 해당됩니다.
      
      
    • anything ok?
    • what does it mean?
    • ok
    • i'm waiting
    • read the details.
    • here is the document.
    • read it immediately!
    • my hero
    • here
    • is that true?
    • is that your name?
    • is that your account?
    • i wait for a reply!
    • is that from you?
    • you are a bad writer
    • I have your password!
    • something about you!
    • kill the writer of this document!
    • i hope it is not true!
    • your name is wrong
    • i found this document about you
    • yes, really?
    • that is bad
    • here it is
    • see you
    • greetings
    • stuff about you?
    • something is going wrong!
    • information about you
    • about me
    • from the chatter
    • here, the serials
    • here, the introduction
    • here, the cheats
    • that's funny
    • do you?
    • reply
    • take it easy
    • why?
    • thats wrong
    • misc
    • you earn money
    • you feel the same
    • you try to steal
    • you are bad
    • something is going wrong
    • something is fool
      
      
      첨부 파일 이름: 다음 중 하나가 해당됩니다.
      
      
    • document
    • msg
    • doc
    • talk
    • message
    • creditcard
    • details
    • attachment
    • me
    • stuff
    • posting
    • textfile
    • concert
    • information
    • note
    • bill
    • swimmingpool
    • product
    • topseller
    • ps
    • shower
    • aboutyou
    • nomoney
    • found
    • story
    • mails
    • website
    • friend
    • jokes
    • location
    • final
    • release
    • dinner
    • ranking
    • object
    • mail2
    • part2
    • disco
    • party
    • misc
      
      
      첨부 파일 확장자명 1: 다음 중 하나가 해당됩니다.
      
      
    • .txt
    • .rtf
    • .doc
    • .htm
      
      
      첨부 파일 확장자명 2: 다음 중 하나가 해당됩니다.
      
      
    • .exe
    • .scr
    • .com
    • .pif
      
      
11. %Windows 폴더% 폴더에 웜을 포함하는 40개의 압축 파일(.zip)을 생성합니다. 생성된 압축 파일 이름은 위에서 언급한 첨부 파일 정보를 참조하십시오.

시만텍 보안 연구소는 모든 사용자 및 관리자가 다음 기본 보안을 "최상의 성능"을 준수하도록 권장합니다.

• 필요하지 않은 서비스는 끄고 제거하십시오. 기본 설정으로, 많은 운영 체제는 FTP 클라이언트, 텔넷 및 웹 브라우저와 같이 중요하지 않은 추가 서비스를 설치합니다. 이러한 서비스는 공격에 취약합니다. 이들 서비스가 제거되면 혼합된 위협의 가능성이 줄어들고 패치 업데이트를 통해 유지 보수해야 하는 서비스가 줄어들게 됩니다.
• 혼합된 위험이 여러개의 네트워크 서비스를 이용하는 경우, 패치를 적용할 때까지 이들 서비스의 실행을 중지하거나 액세스를 차단하십시오.
• 특히 HTTP, FTP, 메일 및 DNS 서비스와 같은 공용 서비스를 호스트 연결하고 방화벽을 통해 액세스할 수 있는 시스템의 패치 수준을 최신으로 유지하십시오.
• 암호 정책을 실행하십시오. 복잡한 암호를 사용하면 감염된 시스템에서 암호 파일의 파괴가 어려워 집니다. 이렇게 하면 시스템이 감염되었을 때 손상을 방지 또는 제한하는 데 도움이 됩니다.
• .vbs, .bat, .exe, .pif and .scr 파일과 같이 바이러스를 확산하는 데 일반적으로 사용되는 첨부 파일을 포함하는 전자 메일을 차단하거나 제거하도록 전자 메일 서버를 설정하십시오.
• 감염된 시스템을 즉시 분리시키면 이후에 사용자 조직의 손상을 방지합니다. 논리적인 분석을 수행하고 신뢰받는 미디어를 사용하는 시스템을 저장하십시오.
• 내용이 예상되는 첨부 파일이 아닌 경우, 직원들이 이러한 파일을 열지 않도록 하십시오. 또한 바이러스 검사를 완료하지 않은 경우, 인터넷에서 다운로드한 소프트웨어를 사용하지 마십시오. 특정 브라우저 취약성이 보안되지 않은 경우, 손상된 웹 사이트를 방문하는 것 만으로 감염을 유발할 수 있습니다.

시만텍 보안 연구소(Security Response)에서는 W32.Netsky.B@mm을 제거할 수 있는

1. Windows Me/XP 시스템 복원 기능 중지
2. 바이러스 정의 업데이트
3. 시스템 안전 모드 또는 VGA 모드 시작
4. 전체 시스템 검사를 실행하고 W32.Netsky.B@mm로 탐지된 모든 파일 삭제
5. 레지스트리에 추가된 값을 제거 및 시스템 다시 시작

• Windows Me 시스템 복원을 실행 중지하거나 실행하는 방법
• Windows XP 시스템 복원을 실행 중지하거나 실행하는 방법

• LiveUpdate는 바이러스 정의를 업데이트 하는 가장 쉬운 방법입니다. 바이러스 정의는 위급한 바이러스 확산이 발생하지 않는 한 LiveUpdate 서버에 매주 목요일에 게시됩니다. 이 바이러스에 관한 정의가 LiveUpdate에 포함되어 있는지 확인하려면 문서 첫 부분의 바이러스 정의(LiveUpdate)를 참조하십시오.
• Intelligent Updater를 통해 바이러스 정의를 다운로드 하는 방법: Intelligent Updater 바이러스 정의는 평일(월 – 금)에 게시됩니다. Intelligent Updater 바이러스 정의는 시만텍 보안 연구소(Symantec Security Response) 웹 사이트를 통해 다운로드 받아야 하며 사용자가 직접 설치해야 합니다. 이 바이러스에 관한 정의가 Intelligent Updater에 포함되어 있는지를 확인하려면 바이러스 정의(Intelligent Updater)를 참조하십시오.
  
  Intelligent Updater 바이러스 정의는 여기에서 다운로드 받을 수 있습니다. 자세한 내용은 Intelligent Updater를 사용하여 바이러스 정의 파일을 업데이트하는 방법을 참조하십시오.

• Windows 95/98/Me/2000/XP: 시스템을 안전 모드로 다시 시작하십시오. 자세한 내용은 시만텍 기술 자료 시스템을 안전모드로 시작하는 방법을 참조하십시오.
• Windows NT 4: “VGA 모드”로 다시 시작하십시오.

1. 시만텍 안티바이러스 소프트웨어를 시작하고 모든 파일을 검사하도록 설정되어 있는지 확인하십시오.
   
   • Norton AntiVirus 개인 사용자용 제품군: Norton AntiVirus에서 모든 파일 검사하는 방법을 참조하십시오.
   • Symantec Enterprise 안티바이러스 제품군: 다음 문서 시만텍 기업용 안티바이러스 제품에서 모든 파일 검사하는 방법를 참조하십시오.
     
     
2. 전체 시스템 검사를 실행하십시오.
3. W32.Netsky.B@mm에 감염된 것으로 탐지된 파일이 있으면 [삭제]를 누르십시오.

1. Windows 작업 메뉴에서 [시작] > [실행]을 누르십시오. ( [실행] 대화 상자가 나타납니다.)
   
2. 실행 대화창에 아래의 명령어를 입력하십시오.
   
   regedit
   
   그런 다음 [확인]을 누르십시오. [레지스트리 편집기]가 열립니다.
   
   
3. 다음 키를 찾으십시오.
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   
   
4. 오른쪽 창에서 아래의 값을 삭제하십시오.
   
   "service" = "%Windir%\services.exe -serv"
   
5. 레지스트리 편집기를 닫으십시오.
   
   
6. 시스템을 다시 시작하십시오.

작성자: Fergal Ladley