A. 바이러스 정보 [ 증상 ] - 메일로 전파된다. [ 내용 ] Win32/Sobig.worm.F 는 2003년 8월 19일 외국에서 대량으로 발견, 보고된 웜으로서 정보를 작성하는 현재 안철수연구소는 사용자로부터 감염신고를 받지는 않았다. 이 웜은 다양한 확장자에서 메일을 주소를 가져와 웜이 첨부된 메일을 발송하며 보낸이는 Spoof 된 형태로 실제 웜을 발송한 보낸이가 아니다. 첨부된 파일을 실행하면 자신을 윈도우 폴더에 복사하고 레지스트리 값에 자신을 추가하여 다음번 부팅시 매번 실행되도록 해둔다. 그 후 로컬 드라이브에서 메일 주소를 수집하여 웜이 첨부된 메일을 여러 SMTP 서버 IP를 이용하여 발송한다. - 전파되는 메일형식 제목 : 다음에서 선택된다. - Re: Thank you! - Thank you! - Your details - Re: Details - Re: Re: My details - Re: Approved - Re: Your application - Re: Wicked screensaver - Re: That movie 본문 : See the attached file for details Please see the attached file for details. 첨부 파일 : (다음 파일에서 선택된다.) - your_document.pif - document_all.pif - thank_you.pif - your_details.pif - details.pif - document_9446.pif - application.pif - wicked_scr.scr - movie0045.pif 첨부파일은 실행압축된 형태이며 크기는 약 71KB 정도이다. 파일의 크기는 일정하지 않는데 파일의 끝 부분에 매번 다른 쓰레기값을 넣어서 다르다. - 실행후 증상 웜파일을 실행하게 되면 윈도우 폴더에(일반적으로 C:WinNT, C:Windows ) 2개의 파일을 생성한다. - winppr32.exe : (72,295 bytes) - 웜 본체로서 V3는 Win32/Sobig.worm.F 로 진단한다. - winstt32.dat : (0 bytes) - 테스트시 0 바이트의 파일만 생성되었다. 그리고 레지스트리에 등록하여 윈도우 시작시 자동실행하게 한다. HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run TrayX = C:윈도우 폴더winppr32.exe /sinc HKEY_CURRENT_USER SOFTWARE Microsoft Windows CurrentVersion Run TrayX = C:윈도우 폴더winppr32.exe /sinc - 그외 증상 웜은 메일발송시 여러개의 SMTP 서버 IP를 이용하여 발송하는데 이때 TCP/25 포트가 다량 오픈되기도 한다. 이 정보는 2003년 08월 19일 16시 45분에 최초작성 되었으며 추후 수정 및 업데이트될 예정이다. B. 치료방법 1. V3를 실행후 최신엔진 및 패치파일로 업데이트 한다. 2. 검사할 드라이브를 지정하고 검사를 시작한다. 3. 프로세스에서 실행중인 'Win32/Sobig.worm.F' 가 진단되면 안내되는 메시지의 '강제종료후 치료' 클릭한다. 종료된 웜은 자동 삭제된다. (V3Pro 2002 Deluxe 만 해당) 4. 프로세스 검사와 지정 드라이브 검사가 끝나면 치료창이 보여진다. 여기서 '전체목록치료' 버튼을 눌러 진단된 웜은 치료(삭제)한다. 5. V3 사용자 경우 변경된 레지스트리값은 자동수정된다. (V3Pro 2000 / 2002 Deluxe 이상 사용자) C. 서버에 바이러스 메일 필터링 하기 1. 센드메일 설정 파일을 열어서 필터링 설정을 합니다. #vi /etc/mail/sendmail.cf을 열어서 제일 마지막 줄에 아래의 내용을 넣습니다. # Sobig.F Virus Mail Rejection # HSubject: $>check_sobigf D{DENYSOBIG} "Deny SOBIG.F Virus Mail." Scheck_sobigf RRe: Thank you! $#error $: 550 ${DENYSOBIG} RThank you! ! $#error $: 550 ${DENYSOBIG} RYour details $#error $: 550 ${DENYSOBIG} RRe: Details $#error $: 550 ${DENYSOBIG} RRe: Re: My details $#error $: 550 ${DENYSOBIG} RRe: Approved $#error$: 550 ${DENYSOBIG} RRe: Your application $#error $: 550 ${DENYSOBIG} RRe: Wicked screensaver $#error $: 550 ${DENYSOBIG} RRe: That movie $#error $: 550 ${DENYSOBIG} (주의) $#error $: 550 ${DENYSOBIG}는 앞의 글자와 탭으로 구분하여 적어 넣습니다. 2. 설정이 완료 되었으면 센드메일을 재시작 해줍니다. #/etc/rc.d/init.d/sendmail restart 3. 센드메일이 정상적으로 리스타트 되었으면 필터링이 되는 것입니다 [ 참고 ] 고객님의 회사에 시스템 관리자가 없으신분들은 저희 소중넷에 요청하여 주세요 메일 서버 바이러스 필터링을 도와 드리겠습니다. ** 고객을 소중하게 생각하는 소중넷입니다. **