ITEASY

닫기

추천 검색어
# 클라우드
# VPN
# 무료서비스
# 호스팅
# 이벤트
닫기정보보호 관리체계 인증(ISMS)

이전 단계

공지사항

VN2004028: MIMAIL.R 웜 경보

2004. 01. 27

안녕하세요.
고객을 소중히 생각하는 소중넷입니다.
다음은 한국정보보호진흥원의 CERTCC-KR에서 발령된 내용입니다.

==============================================================
VN2004028: MIMAIL.R 웜
---------------------------------------------------------------

☆ 개요

MIMAIL.R 웜은 메일과 카자((KaZaZ) P2P 응용 프로그램을 통해 전파된다.
1월 26일 국외에서 처음 발견되었으며 1월 27일 현재, 국내에서 빠른 속도로 전파되고 있다.
웜에 감염되면 특정 사이트에 DoS 공격을 할 수도 있으며, 원격에서 접속 가능한 백도어 TCP 3127 포트가 오픈 될 수 있다.


☆ 전파방법

o 메일을 이용한 전파
보 낸 이 : <임의적으로 조작된 이메일 주소>
제 목 : <아래 제목 중에서 선택되거나, 임의로 변경될 수 있다.>
· Error
· Status
· Server Report
· Mail Transaction Failed
· Mail Delivery System
· hello
· hi

본 문 : <아래의 본문 중에서 선택되거나, 임의로 변경될 수 있다.>
· The message contains Unicode characters and has been sent as a binary attachment.
· The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
· Mail transaction failed. Partial message is available.
· test
※ 경우에 따라서 메시지 본문을 암호화하기도 한다.

첨부파일: 파일명은 임의로 변경되며, 확장자는 .exe, .pif, .cmd, .scr, .zip 중에 선택된다. 파일 사이즈는 22,528 바이트로 동일하다.

o 카자((KaZaZ) P2P 응용 프로그램을 이용한 전파
카자(KaZaA)의 다운로드 폴더에 아래의 파일명으로 웜을 복사해 넣고, 이 파일에 대한 검색 요청이 발생하면 웜을 전송한다.
· winamp5
· icq2004-final
· activation_crack
· strip-girl-2.0bdcom_patches
· rootkitXP
· office_crack
· nuke2004

파일의 확장자 명은 일정하지 않으며, 아래에서 선택된다.
· .pif
· .scr
· .bat


☆ 피해증상

o 웜이 실행되면 Windows 시스템 폴더에 아래의 파일을 생성한다.
- shimgapi.dll
- taskmon.exe
※ Windows 시스템 폴더
· Windows 2000/NT : C:WINNTSystem32
· Windows XP : C:WindowsSystem32
· Windows 95/98/ME : C:WindowsSystem

o 재부팅 시에도 웜이 동작하기 위해 다음의 내용이 레지스트리에 추가된다.
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
이 름 : TaskMon
데이터 : (윈도우 시스템 폴더) askmon.exe

o 다음의 사이트에 DoS 공격을 할 수도 있다.
- www.sco.com

o 원격에서 접속 가능한 백도어 TCP 3127 포트가 오픈 될 수 있다.


☆ 감염시 치료방법

o 수동치료방법
- 아래의 레지스트리 키 값을 삭제한다.
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

이 름 : TaskMon
데이터 : (윈도우 시스템 폴더) askmon.exe

- Windows 시스템 폴더에서 다음의 파일을 삭제한다.
shimgapi.dll
taskmon.exe
※ Windows 시스템 폴더
· Windows 2000/NT : C:WINNTSystem32
· Windows XP : C:WindowsSystem32
· Windows 95/98/ME : C:WindowsSystem

o 백신프로그램을 최신버전으로 업데이트한 다음 검사하여 치료한다.


☆ 예방법

출처가 불분명한 메일일 경우 읽지 말고 삭제하여야 바이러스 감염을 막을 수 있다.


☆ 참조사이트

하우리: http://hauri.co.kr/virus/virusinfo/virusinfo_read.html?code=IWW3000000
안철수연구소: http://info.ahnlab.com/smart2u/virus_detail_1298.html
시만텍: http://securityresponse.symantec.com/avcenter/venc/data/w32.novarg.a@mm.html
맥아피: http://vil.nai.com/vil/content/v_100983.htm
트랜드마이크로: http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MIMAIL.R
이전 글 WORM_NETSKY.B의 웜 바이러스 전파

2004. 02. 20
다음 글 VN2004016: [C급] Win32.Bagle 웜 예보

2004. 01. 20

목록

무엇이든 물어보세요

아이티이지 전문가가 궁금하신 점을 쉽고 빠르게 해결해 드리겠습니다.

고객센터 1600-8324
내선번호

  • 내선 1 서버 / IDC

  • 내선 2 클라우드

  • 내선 3 관리대행 / ITO

  • 내선 4 도메인

  • 내선 5 보안 서비스 문의

  • 내선 6 문자 / 카카오비즈메시지

  • 내선 7 Microsoft365

  • 내선 8 마케팅/서비스 제휴

  • 내선 9 홈페이지 제작

  • 내선 0 기타서비스

  • 내선 11 긴급 장애

평일 9:00~18:00 (IDC 긴급 장애처리 24시간 운영)

FAX 02-6264-8321

문의하기
팝업닫기