안녕하세요
고객을 소중히 생각하는 소중넷입니다.

다음은 한국정보진흥원의 CERTCC-KR 에서 현재등급으로
발령되었음을 알려드립니다.

==============================================================
VN2004048: WORM_NETSKY.B
---------------------------------------------------------------

☆ 개요

WORM__NETSKY.B 는 메일과 네트위크 공유 폴더를 통해 전파된다. 2월18일 국외에서 처음 발견되었으며 현재, 국내에서도 여러건의 감염 보고가 있다. 윔에 감염되면 윈도우 폴더에 SERVICE.EXE 파일이 만들어진다. 특히 전파를 위해 대량의 메일을 발송하므로 주의가 요구된다.


☆ 전파방법

o 메일을 이용한 전파, 네트워크 공유 폴더를 통해 전파된다.
보 낸 이 : <감염된 시스템에서 찾은 메일 주소에서 임의로 추출>
- .msg
- .oft
- .sht
- .dbx
-. tbb
- .adb
- .doc
- .wab
- .asp
- .uin
- .rtf
- .vbs
- .html
- .htm
- .pl
- .php
- .txt
- .eml

제 목 : <아래 제목 중에서 선택>
- hi
- hello
- read it immediately
- something for you
- warning
- information
- stolen
- fake
- unknown

본 문 : <아래의 본문 중에서 선택되거나, 임의로 변경될 수 있다.>
- anything ok?
- what does it mean?
- ok
- i am waiting
- read the details.
- here is the document.
- read it immediately!
-my hero
- here
- is that true?
- is that your name?
- is that your account?
- i wait for a reply!
- is that from you?
- you are a bad writer
- I have your password!
- something about you!
- kill the writer of this document!
- i hope it is not true!
- your name is wrong
- i found this document about you
- yes really?
- that is bad
- here it is
- see you
- greetings
- stuff about you?
- something is going wrong!
- information about you
- about me
- from the chatter
- here, the serials
- here, the introduction
- here, the cheats
- thats funny
- do you?
- reply
- take it easy
- why?
- thats wrong
- misc
- you earn money
- you feel the same
- you try to steal
- you are bad
- something is going wrong
- something is fool

첨부파일명 : 아래의 파일명에서 선택된다.
- party
- disco
- part2
- mail2
- object
- ranking
- dinner
- release
- final
- location
- jokes
- friend
- website
- mails
- story
- found
- nomoney
- aboutyou
- shower
- topseller
- product
- swimmingpool
- concert
- textfile
- posting
- stuff
- attachment
- details
- creditcard
- message
- document

확장명 : 확장명1, 확장명2 의 형태로 구성되며, 확장명 1, 2 는 다음과 같다.
확장명 1.
- .doc
- .htm
- .rtf
- .text

확장명 2.
- .exe
- .scr
- .com
- .pif
ex) message.txt.exe, document.htm.scr
네트위크로 공유된 폴더에 웜 파일을 복사해 전파 되며, 다른 사용자가 파일 이름에 현혹되어 웜 파일을 실행하면 감염된다.

첨부파일명 : 아래의 파일명에서 선택된다.
- doom2.doc.pif
- sex sex sex sex.doc.exe
- rfc compilation.doc.exe
- dictionary.doc.exe
- win longhorn.doc.exe
- e.book.doc.exe
- programming basics.doc.exe
- how to hack.doc.exe
- max payne 2.crack.exe
- e-book.archive.doc.exe
- virii.scr
- nero.7.exe
- eminem - lick my pussy.mp3.pif
- cool screensaver.scr
- serial.txt.exe
- office_crack.exe
- hardcore porn.jpg.exe
- angels.pif
- porno.scr
- matrix.scr
- photoshop 9 crack.exe
- strippoker.exe
- dolly_buster.jpg.pif
- winxp_crack.exe


☆ 피해증상

o 웜이 실행되면 윈도우즈 폴더에 services.exe 로 자신을 복사한다.
※ 윈도우즈 폴더
· Windows 2000/NT : C:WINNT
· Windows XP/95/98/ME : C:Windows

※ 윈도우즈 시스템 폴더에 있는 service.exe 는 정상파일이므로 혼동해서는 않된다.
· Windows 2000/NT : C:WINNTSystem32
· Windows XP : C:WindowsSystem32
· Windows 95/98/ME : C:WindowsSystem


o 재부팅 시에도 웜이 동작하기 위해 다음의 내용이 레지스트리에 추가된다.
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRun service = C:WINNTservices.exe -serv

o 감염시 다음에 내용이 레지스트리에서 삭제된다.

- HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRun Taskmon

- HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRun Explorer

- HKEY_CURRENT_USERSOFTWAREMicrosoftWindows
CurrentVersionRun Taskmon

- HKEY_CURRENT_USERSOFTWAREMicrosoftWindows
CurrentVersionRun Explorer

- HKEY_CLASSES_ROOTCLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED}
InProcServer32


☆ 감염시 치료방법

o 수동치료방법
- 아래의 레지스트리 키 값을 삭제한다.

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
service = %Windir%services.exe -serv

o 백신프로그램을 최신버전으로 업데이트한 다음 검사하여 치료한다.


☆ 예방법

출처가 불분명한 메일일 경우 읽지 말고 삭제하여야 웜 감염을 막을 수 있다.


☆ 참조사이트

하우리: http://hauri.co.kr/virus/virusinfo/virusinfo_read.html?code=IWW3000476
안철수연구소: http://info.ahnlab.com/smart2u/virus_detail_1319.html
시만텍: http://securityresponse.symantec.com/avcenter/venc/data/w32.netsky.b@mm.html
맥아피: http://vil.nai.com/vil/content/v_101034.htm
트랜드마이크로: http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_NETSKY.B