안녕하세요~ 고객을 소중히 생각하는 소중넷입니다. Mytob 변종웜(Win32/Mytob.worm.29550) 에 관한 고객 공지 내용입니다. 메일첨부를 통하여 대량으로 전파되는 Win32/Mytob 변종 웜은 컴퓨터에 저장되어있는 메일주소를 추출하여 메일공격을 시도함으로써 네트웍 트래픽을 증가시킵니다. 국내에 유입되어 피해발생이 예상되오니 아래 내용을 확인하셔서 피해가 발생하지 않도록 주의하시기 바랍니다. Mytob 변종웜(Win32/Mytob.worm.29550) 권고내용 ☆ 공격유형 [원격] o 윈도우 "시스템폴더"에 아래의 파일을 복사 sky.exe (29,xxx byte, xxx는 가변적) ※ 시스템 폴더 : 윈도우 95/98/ME : C:WindowsSystem 윈도우 NT/2000 : C:WinNTSystem32 윈도우 XP : C:WindowsSystem32 o 레지스트리 변경 및 추가(윈도우 재시작시 자동실행 설정) [HKEY_LOCAL_MACHINE][SOFTWARE][Microsoft][Windows][CurrentVersion][Run] WINDOWS SKY = sky.exe [HKEY_LOCAL_MACHINE][SOFTWARE][Microsoft][Windows][CurrentVersion][RunServices] WINDOWS SKY = sky.exe o 특정 IRC서버(irc.blackcarder.net)에 접속하여 파일 실행 및 삭제, 메일발송 등의 악의적인 기능을 수행 o regedit 및 Task Manager 실행 불가 o 감염 후 메일 공격 빈도 및 트래픽 발생률 - 감염시 저장되어 있는 파일로 부터 메일 주소를 추출하여 메일 공격을 시도하며 테스트 시 공격 빈도 및 트패릭량은 아래와 같이 관찰되었다. ※ 공격 빈도 및 트래픽 발생률은 환경에 따라 달라질 수 있다. ☆ 영향받는 장비 o Windows 9X, ME, 2000, NT, XP, 2003 ☆ 패치방법 o 네트워크 관리자 - 바이러스 월의 패턴이 최신으로 업데이트 되었는지 확인한다. - irc.blackcarder.net 도메인 쿼리 트래픽을 차단하도록 한다. o 사용자 - 확인되지 않은 메일의 첨부 파일은 실행 시키지 않는다. - 백신 사용자는 최신 패턴 업데이트 후 검사 및 치료 한다. □ 참조Site o http://info.ahnlab.com/smart2u/virus_detail_2255.html o http://www.hauri.co.kr/virus/virusinfo/virusinfo_read.html? code=WOW3000714 o http://www.symantec.com/avcenter/venc/data/w32.mytob.ch@mm.html