발견됨: July 26, 2004
업데이트됨: February 13, 2007 12:26:33 PM
다른 이름: W32/Mydoom.o@MM [McAfee], W32/MyDoom-O [Sophos], WORM_MYDOOM.M [Trend Micro], Win32.Mydoom.O [Computer Assoc, I-Worm.Mydoom.m [Kaspersky], W32/Mydoom.N.worm [Panda]
유형: Worm
감염 부분 크기: varies
영향을 받는 시스템: Windows



W32.Mydoom.M@mm은 자체 SMTP 엔진을 이용하여 감염된 시스템에서 수집한 메일 주소로 대량으로 메일을 전송하는 웜 입니다.

또한, UPX으로 압축되었습니다. Backdoor.Zincite.A 로 탐지되는 백도어(Backdoor)를 TCP 포트 1034에 개방합니다.


자동 제거 방법

시만텍 보안 연구소(Security Response)에서는 W32.Mydoom.M@mm을 제거할 수 있는 전용 제거 도구 를 제작하였습니다. 도구를 사용하는 것이 가장 쉽게 웜을 제거할 수 있는 방법입니다.





발신인: 위장된 주소(실제 발신인의 주소로 다를 수 있음)

제목: (다음중 하나임)
  • say helo to my litl friend
  • click me baby, one more time
  • hello
  • error
  • status
  • test
  • report
  • delivery failed
  • Message could not be delivered
  • Mail System Error - Returned Mail
  • Delivery reports about your e-mail
  • Returned mail: see transcript for details
  • Returned mail: Data format error
메시지: 메일 메시지의 내용은 미리 정해놓은 변형에 의해 다양할 수 있습니다. 다음은 변할 수 있는 메시지의 내용은 "ㅣ"으로 구분하였습니다.
  • Dear user {<수신인 메일 주소>|of <수신인 메일 도메인>},{ {{M|m}ail {system|server} administrator|administration} of <수신인 메일 도메인> would like to {inform you{ that{:|,}|}|let you know {that|the following}{.|:|,}}|||||}
    {We have {detected|found|received reports} that y|Y}our {e{-|}mail |}account {has been|was} used to send a {large|huge} amount of {{unsolicited{ commercial|}|junk} e{-|}mail|spam}{ messages|} during {this|the {last|recent}} week.
    {We suspect that|Probably,|Most likely|Obviously,} your computer {had been|was} {compromised|infected{ by a recent v{iru}s|}} and now {run|contain}s a {trojan{ed|}|hidden} proxy server.
    {Please|We recommend {that you|you to}} follow {our |the |}instruction{s|} {in the {attachment|attached {text |}file} |}in order to keep your computer safe.
    {{Virtually|Sincerely} yours|Best {wishe|regard}s|Have a nice day},
    {<수신인 메일 도메인> {user |technical |}support team.|The <수신인 메일 도메인> {support |}team.}

  • {The|This|Your} message was{ undeliverable| not delivered} due to the following reason{(s)|}:
    Your message {was not|could not be} delivered because the destination {computer|server} was
    {not |un}reachable within the allowed queue period. The amount of time
    a message is queued before it is returned depends on local configura-
    tion parameters.
    Most likely there is a network problem that prevented delivery, but
    it is also possible that the computer is turned off, or does not
    have a mail system running right now.

  • Your message {was not|could not be} delivered within <random number> days:
    {{{Mail s|S}erver}|Host} <메일 발송에 이용된 호스트>} is not responding.
    The following recipients {did|could} not receive this message:
    <<수신인 메일 주소>>
    Please reply to postmaster@{<발신인 메일 도메인>|<수신인 메일 도메인>}
    if you feel this message to be in error.
    The original message was received at [current time]{
    | }from {<발신인 메일 도메인> <메일 발송에 이용된 호스트>]|{<메일 발송에 이용된 호스트>]|<메일 발송에 이용된 호스트>]}}
    ----- The following addresses had permanent fatal errors -----
    {<<수신인 메일 주소>>|<수신인 메일 주소>}
    {----- Transcript of {the ||}session follows -----
    ... while talking to {host |{mail |}server ||||}{<수신인 메일 도메인>.|<메일 발송에 이용된 호스트>]}:
    {>>> MAIL F{rom|ROM}:[From address of mail]
    <<< 50$d {[From address of mail]... |}{Refused|{Access d|D}enied|{User|Domain|Address} {unknown|blacklisted}}|554 <<수신인 메일 주소>>... {Mail quota exceeded|Message is too
    large}
    554 <<수신인 메일 주소>>... Service unavailable|550 5.1.2 <<수신인 메일 주소>>... Host unknown (Name server: host not found)|554 {5.0.0 |}Service unavailable; <메일 발송에 이용된 호스트>] blocked using {relays.osirusoft.com|bl.spamcop.net}{, reason: Blocked|}
    Session aborted{, reason: lost connection|}|>>> RCPT To:<<수신인 메일 주소>>
    <<< 550 {MAILBOX NOT FOUND|5.1.1 <<수신인 메일 주소>>... {User unknown|Invalid recipient|Not known here}}|>>> DATA
    {<<< 400-aturner; %MAIL-E-OPENOUT, error opening !AS as output
    |}{<<< 400-aturner; -RMS-E-CRE, ACP file create failed
    |}{<<< 400-aturner; -SYSTEM-F-EXDISKQUOTA, disk quota exceeded
    |}<<< 400}|}
    The original message was included as attachment

  • {{The|Your} m|M}essage could not be delivered


    참고: <메일 발송에 사용된 호스트>은 감염된 시스템이 사용하는 메일 서버 이름입니다. 웜이 감염된 시스템의 레지스트리에서 이름을 수집합니다.

첨부 파일: (다음중 하나임)
  • readme
  • instruction
  • transcript
  • mail
  • letter
  • file
  • text
  • attachment
  • document
  • message
첨부 파일 확장자:
  • cmd
  • bat
  • com
  • exe
  • pif
  • scr
아래의 문자를 포함하는 메일 주소에는 메일을 전송하지 않습니다.
  • mailer-d
  • spam
  • abuse
  • master
  • sample
  • accou
  • privacycertific
  • bugs
  • listserv
  • submit
  • ntivi
  • support
  • admin
  • page
  • the.bat
  • gold-certs
  • feste
  • not
  • help
  • foo
  • soft
  • site
  • rating
  • you
  • your
  • someone
  • anyone
  • nothing
  • nobody
  • noone
  • info
  • winrar
  • winzip
  • rarsoft
  • sf.net
  • sourceforge
  • ripe.
  • arin.
  • google
  • gnu.
  • gmail
  • seclist
  • secur
  • bar.
  • foo.com
  • trend
  • update
  • uslis
  • domain
  • example
  • sophos
  • yahoo
  • spersk
  • panda
  • hotmail
  • msn.
  • msdn.
  • microsoft
  • sarc.
  • syma
  • avp


안티바이러스 보호 일자

  • Initial Rapid Release versionRapid Release 최초 버전 July 26, 2004
  • Rapid Release 최신 버전 April 20, 2018 리비전 023
  • Daily Certified 최초 버전 July 26, 2004
  • Daily Certified 최신 버전 April 20, 2018 리비전 009
  • Weekly Certified 최초 릴리스 날짜 July 26, 2004

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

작성자: John Canavan

발견됨: July 26, 2004
업데이트됨: February 13, 2007 12:26:33 PM
다른 이름: W32/Mydoom.o@MM [McAfee], W32/MyDoom-O [Sophos], WORM_MYDOOM.M [Trend Micro], Win32.Mydoom.O [Computer Assoc, I-Worm.Mydoom.m [Kaspersky], W32/Mydoom.N.worm [Panda]
유형: Worm
감염 부분 크기: varies
영향을 받는 시스템: Windows


W32.Mydoom.M@mm이 실행 될 때, 다음과 같은 현상이 발생합니다.

  1. %Windows 폴더%에 아래의 파일을 저장합니다.

    • java.exe
    • services.exe


      참고: Windows 폴더는 운영 체제마다 위치가 다를 수 있습니다. 이 바이러스는 Windows 폴더(기본 위치는 C:\Windows 또는 C:\Winnt)를 찾아 이곳에 저장되어 있는 파일을 감염시킵니다.

  2. 다음 레지스트리에

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    아래의 값를 추가합니다.

    "Services" = "%Windir%\services.exe"
    "JavaVM" = "%Windir%\java.exe"

    이로써, Windows를 시작할 때 웜이 시작됩니다.

  3. 아래와 같은 로그 파일을 생성할 수도 있습니다.

    • %Temp 폴더 %\zincite.log
    • %Temp 폴더%\[무작위 파일 이름].log

  4. 아래와 같은 문자를 포함한 폴더에 웜을 복제합니다.

    • USERPROFILE
    • yahoo.com

  5. 아래의 확장자를 가진 파일에서 메일 주소를 수집합니다.

    • .doc
    • .txt
    • .htm
    • .html

  6. Microsoft Outlook 프로그램이 실행중인 경우, 수집한 메일 주소로 웜을 포함한 메일을 전송합니다.

    웜이 전송한 메일의 자세한 특성은 아래의 추가 정보란에서 보실수 있습니다.


권장 사항

Symantec Security Response encourages all users and administrators to adhere to the following basic security "best practices":

  • Use a firewall to block all incoming connections from the Internet to services that should not be publicly available. By default, you should deny all incoming connections and only allow services you explicitly want to offer to the outside world.
  • Enforce a password policy. Complex passwords make it difficult to crack password files on compromised computers. This helps to prevent or limit damage when a computer is compromised.
  • Ensure that programs and users of the computer use the lowest level of privileges necessary to complete a task. When prompted for a root or UAC password, ensure that the program asking for administration-level access is a legitimate application.
  • Disable AutoPlay to prevent the automatic launching of executable files on network and removable drives, and disconnect the drives when not required. If write access is not required, enable read-only mode if the option is available.
  • Turn off file sharing if not needed. If file sharing is required, use ACLs and password protection to limit access. Disable anonymous access to shared folders. Grant access only to user accounts with strong passwords to folders that must be shared.
  • Turn off and remove unnecessary services. By default, many operating systems install auxiliary services that are not critical. These services are avenues of attack. If they are removed, threats have less avenues of attack.
  • If a threat exploits one or more network services, disable, or block access to, those services until a patch is applied.
  • Always keep your patch levels up-to-date, especially on computers that host public services and are accessible through the firewall, such as HTTP, FTP, mail, and DNS services.
  • Configure your email server to block or remove email that contains file attachments that are commonly used to spread threats, such as .vbs, .bat, .exe, .pif and .scr files.
  • Isolate compromised computers quickly to prevent threats from spreading further. Perform a forensic analysis and restore the computers using trusted media.
  • Train employees not to open attachments unless they are expecting them. Also, do not execute software that is downloaded from the Internet unless it has been scanned for viruses. Simply visiting a compromised Web site can cause infection if certain browser vulnerabilities are not patched.
  • If Bluetooth is not required for mobile devices, it should be turned off. If you require its use, ensure that the device's visibility is set to "Hidden" so that it cannot be scanned by other Bluetooth devices. If device pairing must be used, ensure that all devices are set to "Unauthorized", requiring authorization for each connection request. Do not accept applications that are unsigned or sent from unknown sources.
  • For further information on the terms used in this document, please refer to the Security Response glossary.

작성자: John Canavan

발견됨: July 26, 2004
업데이트됨: February 13, 2007 12:26:33 PM
다른 이름: W32/Mydoom.o@MM [McAfee], W32/MyDoom-O [Sophos], WORM_MYDOOM.M [Trend Micro], Win32.Mydoom.O [Computer Assoc, I-Worm.Mydoom.m [Kaspersky], W32/Mydoom.N.worm [Panda]
유형: Worm
감염 부분 크기: varies
영향을 받는 시스템: Windows



자동 제거 방법

시만텍 보안 연구소(Security Response)에서는 W32.Mydoom.M@mm을 제거할 수 있는 전용 제거 도구 를 제작하였습니다. 도구를 사용하는 것이 가장 쉽게 웜을 제거할 수 있는 방법입니다.

수동 제거 방법

이 지침은 Symantec AntiVirus 및 Norton AntiVirus 제품군을 포함한 모든 시만텍 바이러스 방지 제품에 해당됩니다.

  1. Windows Me/XP 시스템 복원 기능 중지
  2. 바이러스 정의 업데이트
  3. 시스템을 안전 모드 또는 VGA 모드로 다시 시작
  4. 전체 시스템 검사를 실행하고 W32.Mydoom.M@mm로 탐지된 모든 파일 삭제
  5. 레지스트리에 추가된 값을 제거 및 시스템 다시 시작
    각 단계의 자세한 내용은 다음을 참조하십시오.

    1. 시스템 복원 기능 중지 (Windows Me/XP)
    Windows Me 또는 Windows XP를 사용하는 경우, [시스템 복원]기능 잠시 중지할 것을 권장합니다. 이 기능은 기본값으로 활성화되어 있으며 파일이 손상된 경우 Windows에서 이 파일을 복원하는 데 사용됩니다. 바이러스, 웜, 또는 트로이 목마 감염을 치료한 후, [시스템 복원] 기능이 이를 다시 복원 시킬 수도 있습니다.

    Windows는 바이러스 방지 프로그램을 포함한 외부의 프로그램이 [시스템 복원]을 변경하는 것을 방지합니다. 그러므로, 바이러스 방지 프로그램은 [시스템 복원]폴더에 있는 위해한 프로그램을 삭제할 수 없습니다. 이로 인해, [시스템 복원]은 바이러스 감염 치료후, 감염된 파일을 시스템에 다시 복구할 가능성이 있습니다.

    또한, 웜을 제거한 이후에도 바이러스 검사에서 시스템 복원 폴더에 있는 웜을 탐지할 수도 있습니다.

    [시스템 복원]기능을 중지하는 방법에 관한 설명은 다음 문서를 참조하십시오.
    참고: 제거 작업을 종료했고 바이러스가 제거되었다고 확신할 때, 시스템 복원 기능을 재실행하십시오.

    자세한 내용 및 Windows Me 시스템 복원 실행 중지 이외의 방법은 Microsoft 기술 자료 바이러스 백신 도구가 _Restore 폴더에서 감염된 파일을 복구하지 못한다 , 기술 자료 ID : 263455를 참조하십시오.

    2. 바이러스 정의 업데이트
    모든 바이러스 정의는 시만텍 보안 연구소(Symantec Security Response)의 철저한 테스트를 거친 후 서버를 통해 제공됩니다. 최신 바이러스 정의를 얻을 수 있는 두 가지 방법은 다음과 같습니다.
    • LiveUpdate는 바이러스 정의를 업데이트 하는 가장 쉬운 방법입니다. 바이러스 정의는 위급한 바이러스 확산이 발생하지 않는 한 LiveUpdate 서버에 매주 목요일에 게시됩니다. 이 바이러스에 관한 정의가 LiveUpdate에 포함되어 있는지 확인하려면 문서 첫 부분의 바이러스 정의(LiveUpdate)를 참조하십시오.
    • Intelligent Updater를 통해 바이러스 정의를 다운로드 하는 방법: Intelligent Updater 바이러스 정의는 평일(월 – 금)에 게시됩니다. Intelligent Updater 바이러스 정의는 시만텍 보안 연구소(Symantec Security Response) 웹 사이트를 통해 다운로드 받아야 하며 사용자가 직접 설치해야 합니다. 이 바이러스에 관한 정의가 Intelligent Updater에 포함되어 있는지를 확인하려면 바이러스 정의(Intelligent Updater)를 참조하십시오.

      Intelligent Updater 바이러스 정의는
      여기에서 다운로드 받을 수 있습니다. 자세한 내용은 Intelligent Updater를 사용하여 바이러스 정의 파일을 업데이트하는 방법을 참조하십시오.
    3. 시스템을 안전 모드 또는 VGA 모드로 다시 시작

    시스템을 종료하고 전원을 끄십시오. 최소한 30초 이상 기다린 후, 시스템을 안전 모드 또는 VGA 모드로 시작하십시오.
    • Windows 95/98/Me/2000/XP: 시스템을 안전 모드로 다시 시작하십시오. 자세한 내용은 시만텍 기술 자료 시스템을 안전모드로 시작하는 방법을 참조하십시오.
    • Windows NT 4: “VGA 모드”로 다시 시작하십시오.

    4. 감염 파일 검사 및 삭제
    1. 시만텍 안티바이러스 소프트웨어를 시작하고 모든 파일을 검사하도록 설정되어 있는지 확인하십시오.
    2. 전체 시스템 검사를 실행하십시오.
    3. W32.Mydoom.M@mm에 감염된 것으로 탐지된 파일이 있으면 [삭제]를 누르십시오.
    5. 레지스트리 값 제거 및 시스템 재 시작


    주의 : 레지스트리를 변경하기 전에 백업할 것을 권장합니다. 레지스트리를 잘못 변경하면 데이터가 영구히 손실되거나 파일이 손상될 수 있습니다. 지정된 키만 수정하십시오. 자세한 내용은 시만텍 기술 자료 Windows 레지스트리 백업 방법 문서를 참조하십시오.
    1. Windows 작업 메뉴에서 [시작] > [실행]을 누르십시오. ( [실행] 대화 상자가 나타납니다.)

    2. 실행 대화창에 아래의 명령어를 입력하십시오.

      regedit

      그런 다음 [
      확인]을 누르십시오. [레지스트리 편집기]가 열립니다.

    3. 다음 키를 찾으십시오.

      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    4. 오른쪽 창에서 아래의 값을 삭제하십시오.

      "Services" = "%Windows 폴더%\services.exe"
      "JavaVM" = "%Windows 폴더%\java.exe"


    5. [레지스트리 편집기]를 닫으십시오.

    6. 시스템을 다시 시작하십시오.


    작성자: John Canavan