Symantec Security Response
http://www.symantec.com/region/kr/avcenter/

W32.Netsky.B@mm

발견된 시기: 2004/02/18

최근 업데이트 시기: 2004/02/25

W32.Netsky.B@mm은 자체 SMTP 엔진을 사용하여 로컬 드라이브 및 공유 드라이브에서 수집한 메일 주소로 메일을 대량으로 발송하는 웜 입니다. 또한 드라이브 문자(C:- Z:) 검색하여 "Share" 또는 "Sharing"을 포함하는 폴더 이름을 발견하면 그 곳에 자신을 복제합니다.
웜이 발송한 메일의 제목 및 첨부 파일의 형태는 다양합니다.

참고:

베타 바이러스 정의 27994, 2월 18일 오전 3시 30분(미국 서부 시간), 또는 이후에 제작된 바이러스 정의는 웜을 탐지할 수 있습니다.
시만텍 보안 연구소(Symantec Security Response)에서 W32.Netsky.B@mm 감염을 제거할 수 있는 전용 제거 도구를 제작 배포하고 있습니다. 도구를 이용하시면 손쉽게 감염을 제거할 수 있습니다.

다른 이름: W32/Netsky.b@MM [McAfee], W32/Netsky.B.worm [Panda], WORM_NETSKY.B [Trend Micro], Moodown.B [F-Secure], I-Worm.Moodown.b [Kaspersky]

변종: W32.Netsky@mm

바이러스 종류: Worm

감염 길이: 22,016 bytes

영향을 받는 시스템: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP

영향을 받지 않는 시스템: Linux, Macintosh, UNIX, Windows 3.x

바이러스 정의

바이러스 정의 (Intelligent Updater) *

2004/02/18

바이러스 정의 (LiveUpdate™) **

2004/02/18

*

Intelligent Updater 바이러스 정의는 매일 제공되며 직접 다운로드 및 설치해야 합니다.
직접 다운로드하려면 여기를 누르십시오.

**

일반적으로 LiveUpdate 바이러스 정의는 매주 목요일에 제공됩니다.
LiveUpdate 사용에 대한 지침은 여기를 누르십시오.

감염 위험도:

감염된 PC: 1000개 이상
감염된 사이트: 10개 이상
지리적 확산도: 중간
위험도: 쉬움
제거 가능성: 보통

위험도

감염 위험도: 높음	피해도: 낮음	배포: 높음

피해도

페이로드 발생 조건: 해당 사항 없음
감염 증상: 해당 사항 없음
- 대량 전자 메일 발송: 해당 사항 없음
- 파일 삭제: 해당 사항 없음
- 파일 수정: 해당 사항 없음
- 성능 저하: 해당 사항 없음
- 시스템 불안정성 유발: 해당 사항 없음
- 개인 정보 유출: 해당 사항 없음
- 보안 설정 손상: 해당 사항 없음

배포

전자 메일 제목: 해당 사항 없음
첨부 파일 이름: 해당 사항 없음
첨부 파일 크기: 해당 사항 없음
첨부 파일 시간 기록 (time stamp): 해당 사항 없음
포트: 해당 사항 없음
공유 드라이브: 해당 사항 없음
감염 대상: 해당 사항 없음

W32.Netsky@mm 웜이 실행 될 때, 다음과 같은 현상이 발생합니다.

"AdmSkynetJKIS003" 뮤텍스(mutex)를 생성합니다. 이 뮤텍스는 웜이 한번 만 실행되도록 합니다.

아래의 메시지를 담은 대화창이 나타날 수도 있습니다.

The file could not be opened!

%Windows 폴더%\services.exe으로 복제합니다.

참고: %Windows 폴더% 은 변수입니다. 웜은 Windows 설치 폴더(기본 설정: C:\Windows 또는 C:\Winnt)의 위치를 파악하고 그 곳에 자신을 복제해 놓습니다.

다음 레지스트리에

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

아래의 값을 추가합니다.

"service" = "%Windir%\services.exe -serv"

이렇게 하면 Windows를 다시 시작할 때 웜이 실행됩니다.

다음 레지스트리에서

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

아래의 값을 삭제합니다.
"Taskmon"
"Explorer"

다음 레지스트리에서

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

아래의 값을 삭제합니다.
"KasperskyAV"
"System."

다음 레지스트리 키를 삭제합니다.

HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32

다음과 같은 확장자로 된 파일에서 전자 메일 주소를 수집합니다.

.msg
.oft
.sht
.dbx
.tbb
.adb
.doc
.wab
.asp
.uin
.rtf
.vbs
.html
.htm
.pl
.php
.txt
.eml

드라이브 문자(C:부터 Z:까지)를 검색하여 "Share" 또는 "Sharing" 문자를 드라이브 이름에 포함하고 있는지 확인합니다.

문자를 포함하고 있는 드라이브(CD-ROM 제외)와 하위 폴더에 자신을 아래에 나열된 파일로 복사합니다.

doom2.doc.pif
sex sex sex sex.doc.exe
rfc compilation.doc.exe
dictionary.doc.exe
win longhorn.doc.exe
e.book.doc.exe
programming basics.doc.exe
how to hack.doc.exe
max payne 2.crack.exe
e-book.archive.doc.exe
virii.scr
nero.7.exe
eminem - lick my pussy.mp3.pif
cool screensaver.scr
serial.txt.exe
office_crack.exe
hardcore porn.jpg.exe
angels.pif
porno.scr
matrix.scr
photoshop 9 crack.exe
strippoker.exe
dolly_buster.jpg.pif
winxp_crack.exe

자체 SMTP 엔진을 사용하여 수집한 메일 주소로 스스로 복제 전송합니다.

이 전자 메일은 다음과 같은 특징을 지녔습니다.

발신자: (위장된 발신 주소)

제목: 다음 중 하나가 해당됩니다.

hi
hello
read it immediately
something for you
warning
information
stolen
fake
unknown

메시지: 다음 중 하나가 해당됩니다.
anything ok?
what does it mean?
ok
i'm waiting
read the details.
here is the document.
read it immediately!
my hero
here
is that true?
is that your name?
is that your account?
i wait for a reply!
is that from you?
you are a bad writer
I have your password!
something about you!
kill the writer of this document!
i hope it is not true!
your name is wrong
i found this document about you
yes, really?
that is bad
here it is
see you
greetings
stuff about you?
something is going wrong!
information about you
about me
from the chatter
here, the serials
here, the introduction
here, the cheats
that's funny
do you?
reply
take it easy
why?
thats wrong
misc
you earn money
you feel the same
you try to steal
you are bad
something is going wrong
something is fool

첨부 파일 이름: 다음 중 하나가 해당됩니다.
document
msg
doc
talk
message
creditcard
details
attachment
me
stuff
posting
textfile
concert
information
note
bill
swimmingpool
product
topseller
ps
shower
aboutyou
nomoney
found
story
mails
website
friend
jokes
location
final
release
dinner
ranking
object
mail2
part2
disco
party
misc

첨부 파일 확장자명 1: 다음 중 하나가 해당됩니다.
.txt
.rtf
.doc
.htm

첨부 파일 확장자명 2: 다음 중 하나가 해당됩니다.
.exe
.scr
.com
.pif

%Windows 폴더% 폴더에 웜을 포함하는 40개의 압축 파일(.zip)을 생성합니다. 생성된 압축 파일 이름은 위에서 언급한 첨부 파일 정보를 참조하십시오.

시만텍 보안 연구소는 모든 사용자 및 관리자가 다음 기본 보안을 "최상의 성능"을 준수하도록 권장합니다.

필요하지 않은 서비스는 끄고 제거하십시오. 기본 설정으로, 많은 운영 체제는 FTP 클라이언트, 텔넷 및 웹 브라우저와 같이 중요하지 않은 추가 서비스를 설치합니다. 이러한 서비스는 공격에 취약합니다. 이들 서비스가 제거되면 혼합된 위협의 가능성이 줄어들고 패치 업데이트를 통해 유지 보수해야 하는 서비스가 줄어들게 됩니다.

혼합된 위험이 여러개의 네트워크 서비스를 이용하는 경우, 패치를 적용할 때까지 이들 서비스의 실행을 중지하거나 액세스를 차단하십시오.

특히 HTTP, FTP, 메일 및 DNS 서비스와 같은 공용 서비스를 호스트 연결하고 방화벽을 통해 액세스할 수 있는 시스템의 패치 수준을 최신으로 유지하십시오.

암호 정책을 실행하십시오. 복잡한 암호를 사용하면 감염된 시스템에서 암호 파일의 파괴가 어려워 집니다. 이렇게 하면 시스템이 감염되었을 때 손상을 방지 또는 제한하는 데 도움이 됩니다.

.vbs, .bat, .exe, .pif and .scr 파일과 같이 바이러스를 확산하는 데 일반적으로 사용되는 첨부 파일을 포함하는 전자 메일을 차단하거나 제거하도록 전자 메일 서버를 설정하십시오.

감염된 시스템을 즉시 분리시키면 이후에 사용자 조직의 손상을 방지합니다. 논리적인 분석을 수행하고 신뢰받는 미디어를 사용하는 시스템을 저장하십시오.

내용이 예상되는 첨부 파일이 아닌 경우, 직원들이 이러한 파일을 열지 않도록 하십시오. 또한 바이러스 검사를 완료하지 않은 경우, 인터넷에서 다운로드한 소프트웨어를 사용하지 마십시오. 특정 브라우저 취약성이 보안되지 않은 경우, 손상된 웹 사이트를 방문하는 것 만으로 감염을 유발할 수 있습니다.

시만텍 보안 연구소(Security Response)에서는 W32.Netsky.B@mm을 제거할 수 있는 전용 제거 도구를 제작하였습니다. 도구를 사용하는 것이 가장 쉽게 웜을 제거할 수 있는 방법입니다.

수동 제거 방법
제거 도구를 사용하지 않고 수동으로 제거할 수도 있습니다. 다음 단계를 지시에 맞게 따르십시오.

참고: 네트워크에 연결되어 있거나 인터넷에 항상 연결되어 있는 경우 네트워크 및 인터넷 연결을 끊으십시오. 네트워크에 연결된 모든 시스템에서 바이러스를 제거하기 전에는 시스템을 네트워크에 연결하지 마십시오.

네트워크나 인터넷에 시스템을 다시 연결하기 전에 파일 공유를 해제하거나 암호로 보호하십시오. 자세한 내용은 Windows 참고 자료나 최대 네트워크 보호를 위해 공유 Windows 폴더를 설정하는 방법을 참조하십시오.

주의: 이 단계를 생략하지 마십시오. 이 웜을 제거하기 전에 네트워크 연결을 끊어야 합니다.

이 지침은 Symantec AntiVirus 및 Norton AntiVirus 제품군을 포함한 모든 시만텍 바이러스 방지 제품에 해당됩니다.

Windows Me/XP 시스템 복원 기능 중지
바이러스 정의 업데이트
시스템 안전 모드 또는 VGA 모드 시작
전체 시스템 검사를 실행하고 W32.Netsky.B@mm로 탐지된 모든 파일 삭제
레지스트리에 추가된 값을 제거 및 시스템 다시 시작

각 단계의 자세한 내용은 다음을 참조하십시오.

1. 시스템 복원 기능 중지 (Windows Me/XP)
Windows Me 또는 Windows XP를 사용하는 경우, [시스템 복원]기능 잠시 중지할 것을 권장합니다. 이 기능은 기본값으로 활성화되어 있으며 파일이 손상된 경우 Windows에서 이 파일을 복원하는 데 사용됩니다. 바이러스, 웜, 또는 트로이 목마 감염을 치료한 후, [시스템 복원] 기능이 이를 다시 복원 시킬 수도 있습니다.

Windows는 바이러스 방지 프로그램을 포함한 외부의 프로그램이 [시스템 복원]을 변경하는 것을 방지합니다. 그러므로, 바이러스 방지 프로그램은 [시스템 복원]폴더에 있는 위해한 프로그램을 삭제할 수 없습니다. 이로 인해, [시스템 복원]은 바이러스 감염 치료후, 감염된 파일을 시스템에 다시 복구할 가능성이 있습니다.

또한, 웜을 제거한 이후에도 바이러스 검사에서 시스템 복원 폴더에 있는 웜을 탐지할 수도 있습니다.

[시스템 복원]기능을 중지하는 방법에 관한 설명은 다음 문서를 참조하십시오.

2. 바이러스 정의 업데이트
모든 바이러스 정의는 시만텍 보안 연구소(Symantec Security Response)의 철저한 테스트를 거친 후 서버를 통해 제공됩니다. 최신 바이러스 정의를 얻을 수 있는 두 가지 방법은 다음과 같습니다.

LiveUpdate는 바이러스 정의를 업데이트 하는 가장 쉬운 방법입니다. 바이러스 정의는 위급한 바이러스 확산이 발생하지 않는 한 LiveUpdate 서버에 매주 목요일에 게시됩니다. 이 바이러스에 관한 정의가 LiveUpdate에 포함되어 있는지 확인하려면 문서 첫 부분의 바이러스 정의(LiveUpdate)를 참조하십시오.
Intelligent Updater를 통해 바이러스 정의를 다운로드 하는 방법: Intelligent Updater 바이러스 정의는 평일(월 – 금)에 게시됩니다. Intelligent Updater 바이러스 정의는 시만텍 보안 연구소(Symantec Security Response) 웹 사이트를 통해 다운로드 받아야 하며 사용자가 직접 설치해야 합니다. 이 바이러스에 관한 정의가 Intelligent Updater에 포함되어 있는지를 확인하려면 바이러스 정의(Intelligent Updater)를 참조하십시오.

Intelligent Updater 바이러스 정의는 여기에서 다운로드 받을 수 있습니다. 자세한 내용은 Intelligent Updater를 사용하여 바이러스 정의 파일을 업데이트하는 방법을 참조하십시오.

3. 시스템을 안전 모드 또는 VGA 모드로 다시 시작

시스템을 종료하고 전원을 끄십시오. 최소한 30초 이상 기다린 후, 시스템을 안전 모드 또는 VGA 모드로 시작하십시오.

Windows 95/98/Me/2000/XP: 시스템을 안전 모드로 다시 시작하십시오. 자세한 내용은 시만텍 기술 자료 시스템을 안전모드로 시작하는 방법을 참조하십시오.
Windows NT 4: “VGA 모드”로 다시 시작하십시오.

4. 감염 파일 검사 및 삭제

시만텍 안티바이러스 소프트웨어를 시작하고 모든 파일을 검사하도록 설정되어 있는지 확인하십시오.
- Norton AntiVirus 개인 사용자용 제품군: Norton AntiVirus에서 모든 파일 검사하는 방법을 참조하십시오.
- Symantec Enterprise 안티바이러스 제품군: 다음 문서 시만텍 기업용 안티바이러스 제품에서 모든 파일 검사하는 방법를 참조하십시오.
전체 시스템 검사를 실행하십시오.
W32.Netsky.B@mm에 감염된 것으로 탐지된 파일이 있으면 [삭제]를 누르십시오.

5. 레지스트리 값 제거 및 시스템 재 시작

주의: 레지스트리를 변경하기 전에 백업할 것을 권장합니다. 레지스트리를 잘못 변경하면 데이터가 영구히 손실되거나 파일이 손상될 수 있습니다. 지정된 키만 수정하십시오. 자세한 내용은 Windows 레지스트리 백업 방법 문서를 참조하십시오.

Windows 작업 메뉴에서 [시작] > [실행]을 누르십시오. ( [실행] 대화 상자가 나타납니다.)
실행 대화창에 아래의 명령어를 입력하십시오.

regedit

그런 다음 [확인]을 누르십시오. [레지스트리 편집기]가 열립니다.
다음 키를 찾으십시오.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
오른쪽 창에서 아래의 값을 삭제하십시오.

"service" = "%Windir%\services.exe -serv"
레지스트리 편집기를 닫으십시오.
시스템을 다시 시작하십시오.

작성자: Fergal Ladley

다른 이름:	W32/Netsky.b@MM [McAfee], W32/Netsky.B.worm [Panda], WORM_NETSKY.B [Trend Micro], Moodown.B [F-Secure], I-Worm.Moodown.b [Kaspersky]
변종:	W32.Netsky@mm
바이러스 종류:	Worm
감염 길이:	22,016 bytes



영향을 받는 시스템:	Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
영향을 받지 않는 시스템:	Linux, Macintosh, UNIX, Windows 3.x