● 이름 : Win32/Netsky.worm.22016
● 종류 : 웜
● 감염형태 : 실행파일
● 증상
- 처음 실행시 에러로 위장한 메시지 창이 뜬다.
- 윈도우 폴더에 services.exe 파일이 만들어 진다.
- 마이 둠 등 몇 가지 웜이 치료된다.
- 다수의 감염된 시스템이 존재할 때 내부 네트워크 패킷 트래픽이 증가 할 수 있다.

● 내용
-요약
Win32/Netsky.worm.22016는 Win32/Netsky.worm.21504의 변형으로 메일과 P2P 응용 프로그램을 통해 전파되는 웜이다. 감염된 시스템은 윈도우 폴더에 services.exe 파일이 만들어 진다. 단, 윈도우 시스템 폴더의 services.exe 파일은 정상 파일이므로 파일이 존재하는 폴더 위치를 정확히 파악할 필요가 있다. 마이둠 등 몇가지 웜의 치료 기능이 있다.

- 현재 확산도
2004년 2월 18일 밤(한국 시간)에 최초 보고되었으며 2004년 2월 19일 새벽 4시 30분 현재 안철수연구소는 바이러스 사전 차단 서비스인 VBS(Virus Blocking Service)를 통해 여러건의 감염 보고를 받았다.

- 전파 방법
이 웜은 메일, 네트워크 공유 드라이브, P2P 응용 프로그램을 통해 전파된다.

다음 메일 형태로 전파된다.

* 보내는 사람 : 감염된 시스템에서 찾은 임의의 메일 주소 혹은 skynet@skynet.de
* 제목 : 다음 문자열 중 선택
- hello
- read it immediately
- fake
- warning 등

* 본문 : 다음 문자열 중 선택
- something is fool
- something is going wrong
- you are bad
- you try to steal
- you feel the same
- you earn money
- thats wrong
- take it easy
- reply
- do you?
- that's funny
- here, the cheats
- here, the introduction
- here, the serials
- from the chatter
- about me
- information about you
- something is going wrong!
- stuff about you?
- greetings
- see you
- here it is
- that is bad
- yes, really?
- i found this document about you
- your name is wrong
- i hope it is not true!
- kill the writer of this document!
- something about you!
- I have your password!
- you are a bad writer
- is that from you?
- i wait for a reply!
- is that your account?
- is that your name?
- is that true?
- my hero
- read it immediately!
- here is the document.
- read the details.
- i'm waiting
- what does it mean?
- anything ok?

* 첨부 파일 : 다음 형태 중 하나가 선택

1. 파일명.가짜확장자.실제확장자
2. 파일명.실제 확장자
3. ZIP 파일로 압축된 형태(내부에 실행 파일 형태의 웜 파일 포함)

다음 파일명 중 선택된다.

- party
- disco
- part2
- mail2
- object
- ranking
- dinner
- release
- final
- location
- jokes
- friend
- website
- mails
- story
- found
- nomoney
- aboutyou
- shower
- topseller
- product
- swimmingpool
- concert
- textfile
- posting
- stuff
- attachment
- details
- creditcard
- message
- document

다음 가짜 확장자가 선택될 수 있다.
- .doc
- .htm
- .rtf
- .text

다음 실제 확장자가 선택된다.
- .com
- .exe
- .pif
- .scr
( 예 : 보낸이 : skynet@skynet.de
제목 : fake
본문 : read the details.
첨부파일 : mail2.scr )

P2P 응용 프로그램이 설치되어 있거나 share나 sharing 이름을 가진 폴더에 다음 이름의 웜 파일을 복사해 전파 된다. 다른 사용자가 파일 이름에 현혹되어 웜 파일을 실행하면 감염된다.

- angels.pif
- cool screensaver.scr
- dictionary.doc.exe
- dolly_buster.jpg.pif
- doom2.doc.pif
- e-book.archive.doc.exe
- e.book.doc.exe
- eminem - lick my pussy.mp3.pif
- hardcore porn.jpg.exe
- how to hack.doc.exe
- matrix.scr
- max payne 2.crack.exe
- nero.7.exe
- office_crack.exe
- photoshop 9 crack.exe
- porno.scr
- programming basics.doc.exe
- rfc compilation.doc.exe
- serial.txt.exe
- sex sex sex sex.doc.exe
- strippoker.exe
- virii.scr
- win longhorn.doc.exe
- winxp_crack.exe

- 실행 후 증상
웜 파일이 실행되면 다음과 같이 오류로 위장한 메시지 창이 뜬다.
"The file could not be opened!"

윈도우 폴더에 services.exe 로 자신을 복사한다.
(주 : 윈도우 폴더는 윈도우마다 다르며 보통 C:\Windows나 C:\WinNT 폴더이다.)
단, 윈도우 시스템 폴더의 services.exe 파일은 정상 파일이므로 파일이 존재하는 폴더 위치를 정확히 확인해야한다.

다음 레지스트리에 웜 파일을 등록해 윈도우 시작시 자동 실행되게 한다.

HKEY_LOCAL_MACHINE
\SOFTWARE
\Mircosoft
\Windows
\CurrentVersion
\Run
에 "service" 키로 웜 파일 등록(예 : C:\WINNT\services.exe -serv)

이후 파일을 검색해 메일 주소를 수집해 웜이 첨부된 메일을 보낸다.
감염된 컴퓨터가 많을 경우 메일 보낼 때 발생하는 네트워크 패킷으로 네트워크 장비에 무리가 갈 수 있다.

- 다른 웜 치료
다른 웜이 만든 레지스트리 값을 삭제해 해당 웜이 실행되지 않게 한다.

현재까지 파악된 치료 가능한 웜은 다음과 같다.
- Win32/MyDoom.worm.22528 및 변형
- Win32/MyDoom.worm.29184 및 변형
- Win32/Mimail.worm.14880

삭제되는 레지스트리 키는 다음과 같다.
- HKEY_LOCAL_MACHINE\SOFTWARE
\Microsoft\Windows\CurrentVersion\Run에서
Taskmon, Explorer, KasperskyAV, System.
- HKEY_CURRENT_USER\SOFTWARE
\Microsoft\Windows\CurrentVersion\RunServices에서
Taskmon, Explorer
- HKEY_CLASSES_ROOT\CLSID
\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32

● 참고사항
* 이 웜은 감염된 시스템에서 수집한 메일 주소 중 하나를 임의로 선택해 발신인(보낸이)으로 메일을 보내므로 다음과 같은 상황이 발생 할 수 있다.

1. 메일 보낸 사람의 컴퓨터가 웜에 감염되었다고 오해 받을 수 있다.
2. 다른 사람이나 메일 백신 프로그램으로 부터 자신이 보낸적이 없는 메일에 대해서 바이러스를 치료하라는 메일을 받을 수 있다. 하지만, 자신의 컴퓨터를 최신 백신으로 검사해 봤을 때 아무 것도 검사되지 않았다.

실제 메일 보낸 곳을 확인하기 위해서는 발신인이 아니라 메일 헤더를 분석해야 한다.