A. 바이러스 정보

[ 증상 ]

- 메일로 전파된다.

[ 내용 ]

Win32/Sobig.worm.F 는 2003년 8월 19일 외국에서 대량으로 발견, 보고된 웜으로서 정보를 작성하는 현재 안철수연구소는 사용자로부터 감염신고를 받지는 않았다.

이 웜은 다양한 확장자에서 메일을 주소를 가져와 웜이 첨부된 메일을 발송하며 보낸이는 Spoof 된 형태로 실제 웜을 발송한 보낸이가 아니다. 첨부된 파일을 실행하면 자신을 윈도우 폴더에 복사하고 레지스트리 값에 자신을 추가하여 다음번 부팅시 매번 실행되도록 해둔다. 그 후 로컬 드라이브에서 메일 주소를 수집하여 웜이 첨부된 메일을 여러 SMTP 서버 IP를 이용하여 발송한다.

- 전파되는 메일형식

제목 : 다음에서 선택된다.

- Re: Thank you!
- Thank you!
- Your details
- Re: Details
- Re: Re: My details
- Re: Approved
- Re: Your application
- Re: Wicked screensaver
- Re: That movie


본문 :

See the attached file for details
Please see the attached file for details.

첨부 파일 : (다음 파일에서 선택된다.)

- your_document.pif
- document_all.pif
- thank_you.pif
- your_details.pif
- details.pif
- document_9446.pif
- application.pif
- wicked_scr.scr
- movie0045.pif

첨부파일은 실행압축된 형태이며 크기는 약 71KB 정도이다. 파일의 크기는 일정하지 않는데 파일의 끝 부분에 매번 다른 쓰레기값을 넣어서 다르다.

- 실행후 증상

웜파일을 실행하게 되면 윈도우 폴더에(일반적으로 C:WinNT, C:Windows ) 2개의 파일을 생성한다.

- winppr32.exe : (72,295 bytes) - 웜 본체로서 V3는 Win32/Sobig.worm.F 로 진단한다.
- winstt32.dat : (0 bytes) - 테스트시 0 바이트의 파일만 생성되었다.



그리고 레지스트리에 등록하여 윈도우 시작시 자동실행하게 한다.

HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
Run
TrayX = C:윈도우 폴더winppr32.exe /sinc

HKEY_CURRENT_USER
SOFTWARE
Microsoft
Windows
CurrentVersion
Run
TrayX = C:윈도우 폴더winppr32.exe /sinc



- 그외 증상

웜은 메일발송시 여러개의 SMTP 서버 IP를 이용하여 발송하는데 이때 TCP/25 포트가 다량 오픈되기도 한다.



이 정보는 2003년 08월 19일 16시 45분에 최초작성 되었으며 추후 수정 및 업데이트될 예정이다.




B. 치료방법

1. V3를 실행후 최신엔진 및 패치파일로 업데이트 한다.

2. 검사할 드라이브를 지정하고 검사를 시작한다.

3. 프로세스에서 실행중인 'Win32/Sobig.worm.F' 가 진단되면 안내되는 메시지의 '강제종료후 치료' 클릭한다. 종료된 웜은 자동 삭제된다. (V3Pro 2002 Deluxe 만 해당)

4. 프로세스 검사와 지정 드라이브 검사가 끝나면 치료창이 보여진다. 여기서 '전체목록치료' 버튼을 눌러 진단된 웜은 치료(삭제)한다.

5. V3 사용자 경우 변경된 레지스트리값은 자동수정된다. (V3Pro 2000 / 2002 Deluxe 이상 사용자)

C. 서버에 바이러스 메일 필터링 하기

1. 센드메일 설정 파일을 열어서 필터링 설정을 합니다.

#vi /etc/mail/sendmail.cf을 열어서 제일 마지막 줄에 아래의 내용을 넣습니다.

# Sobig.F Virus Mail Rejection
#
HSubject: $>check_sobigf
D{DENYSOBIG} "Deny SOBIG.F Virus Mail."

Scheck_sobigf
RRe: Thank you! $#error $: 550 ${DENYSOBIG}
RThank you! ! $#error $: 550 ${DENYSOBIG}
RYour details $#error $: 550 ${DENYSOBIG}
RRe: Details $#error $: 550 ${DENYSOBIG}
RRe: Re: My details $#error $: 550 ${DENYSOBIG}
RRe: Approved $#error$: 550 ${DENYSOBIG}
RRe: Your application $#error $: 550 ${DENYSOBIG}
RRe: Wicked screensaver $#error $: 550 ${DENYSOBIG}
RRe: That movie $#error $: 550 ${DENYSOBIG}

(주의) $#error $: 550 ${DENYSOBIG}는 앞의 글자와 탭으로 구분하여
적어 넣습니다.

2. 설정이 완료 되었으면 센드메일을 재시작 해줍니다.
#/etc/rc.d/init.d/sendmail restart

3. 센드메일이 정상적으로 리스타트 되었으면 필터링이 되는 것입니다

[ 참고 ]
고객님의 회사에 시스템 관리자가 없으신분들은 저희 소중넷에 요청하여 주세요
메일 서버 바이러스 필터링을 도와 드리겠습니다.

** 고객을 소중하게 생각하는 소중넷입니다. **