교컴 키우기 자발적 후원 |
- 1가입인사
- 2슈링클스(Shrinkles) 열쇠고리(keyring) 제작 학습지
- 3초대! 『기준 없이』 출간 기념 스티븐 샤비로 강연 (2024년 4월 20일 토 오전 10시)
- 4그림으로 공부하는 과학사
- 5페임랩(Fame Lab) 학습지
- 6새 책! 『육식, 노예제, 성별위계를 거부한 생태적 저항의 화신, 벤저민 레이』 글·그림 데이비드 레스터, 마커스 레디커·폴 불 엮음, 김정연 옮김, 신은주 감수
- 7마음 속 우편함
- 8새 책! 『죽음의 왕, 대서양의 해적들』 글·그림 데이비드 레스터, 글 마커스 레디커, 폴 불 엮음, 김정연 옮김, 신은주 감수
- 9스무가지 조언
- 10사랑의 다른 말
|
span> |
교컴 포토갤러리 |
ICT 소양교육
[알림] Win32/Netsky.worm.22016 바이러스
● 종류 : 웜
● 감염형태 : 실행파일
● 증상
- 처음 실행시 에러로 위장한 메시지 창이 뜬다.
- 윈도우 폴더에 services.exe 파일이 만들어 진다.
- 마이 둠 등 몇 가지 웜이 치료된다.
- 다수의 감염된 시스템이 존재할 때 내부 네트워크 패킷 트래픽이 증가 할 수 있다.
● 내용
-요약
Win32/Netsky.worm.22016는 Win32/Netsky.worm.21504의 변형으로 메일과 P2P 응용 프로그램을 통해 전파되는 웜이다. 감염된 시스템은 윈도우 폴더에 services.exe 파일이 만들어 진다. 단, 윈도우 시스템 폴더의 services.exe 파일은 정상 파일이므로 파일이 존재하는 폴더 위치를 정확히 파악할 필요가 있다. 마이둠 등 몇가지 웜의 치료 기능이 있다.
- 현재 확산도
2004년 2월 18일 밤(한국 시간)에 최초 보고되었으며 2004년 2월 19일 새벽 4시 30분 현재 안철수연구소는 바이러스 사전 차단 서비스인 VBS(Virus Blocking Service)를 통해 여러건의 감염 보고를 받았다.
- 전파 방법
이 웜은 메일, 네트워크 공유 드라이브, P2P 응용 프로그램을 통해 전파된다.
다음 메일 형태로 전파된다.
* 보내는 사람 : 감염된 시스템에서 찾은 임의의 메일 주소 혹은 skynet@skynet.de
* 제목 : 다음 문자열 중 선택
- hello
- read it immediately
- fake
- warning 등
* 본문 : 다음 문자열 중 선택
- something is fool
- something is going wrong
- you are bad
- you try to steal
- you feel the same
- you earn money
- thats wrong
- take it easy
- reply
- do you?
- that's funny
- here, the cheats
- here, the introduction
- here, the serials
- from the chatter
- about me
- information about you
- something is going wrong!
- stuff about you?
- greetings
- see you
- here it is
- that is bad
- yes, really?
- i found this document about you
- your name is wrong
- i hope it is not true!
- kill the writer of this document!
- something about you!
- I have your password!
- you are a bad writer
- is that from you?
- i wait for a reply!
- is that your account?
- is that your name?
- is that true?
- my hero
- read it immediately!
- here is the document.
- read the details.
- i'm waiting
- what does it mean?
- anything ok?
* 첨부 파일 : 다음 형태 중 하나가 선택
1. 파일명.가짜확장자.실제확장자
2. 파일명.실제 확장자
3. ZIP 파일로 압축된 형태(내부에 실행 파일 형태의 웜 파일 포함)
다음 파일명 중 선택된다.
- party
- disco
- part2
- mail2
- object
- ranking
- dinner
- release
- final
- location
- jokes
- friend
- website
- mails
- story
- found
- nomoney
- aboutyou
- shower
- topseller
- product
- swimmingpool
- concert
- textfile
- posting
- stuff
- attachment
- details
- creditcard
- message
- document
다음 가짜 확장자가 선택될 수 있다.
- .doc
- .htm
- .rtf
- .text
다음 실제 확장자가 선택된다.
- .com
- .exe
- .pif
- .scr
( 예 : 보낸이 : skynet@skynet.de
제목 : fake
본문 : read the details.
첨부파일 : mail2.scr )
P2P 응용 프로그램이 설치되어 있거나 share나 sharing 이름을 가진 폴더에 다음 이름의 웜 파일을 복사해 전파 된다. 다른 사용자가 파일 이름에 현혹되어 웜 파일을 실행하면 감염된다.
- angels.pif
- cool screensaver.scr
- dictionary.doc.exe
- dolly_buster.jpg.pif
- doom2.doc.pif
- e-book.archive.doc.exe
- e.book.doc.exe
- eminem - lick my pussy.mp3.pif
- hardcore porn.jpg.exe
- how to hack.doc.exe
- matrix.scr
- max payne 2.crack.exe
- nero.7.exe
- office_crack.exe
- photoshop 9 crack.exe
- porno.scr
- programming basics.doc.exe
- rfc compilation.doc.exe
- serial.txt.exe
- sex sex sex sex.doc.exe
- strippoker.exe
- virii.scr
- win longhorn.doc.exe
- winxp_crack.exe
- 실행 후 증상
웜 파일이 실행되면 다음과 같이 오류로 위장한 메시지 창이 뜬다.
"The file could not be opened!"
윈도우 폴더에 services.exe 로 자신을 복사한다.
(주 : 윈도우 폴더는 윈도우마다 다르며 보통 C:\Windows나 C:\WinNT 폴더이다.)
단, 윈도우 시스템 폴더의 services.exe 파일은 정상 파일이므로 파일이 존재하는 폴더 위치를 정확히 확인해야한다.
다음 레지스트리에 웜 파일을 등록해 윈도우 시작시 자동 실행되게 한다.
HKEY_LOCAL_MACHINE
\SOFTWARE
\Mircosoft
\Windows
\CurrentVersion
\Run
에 "service" 키로 웜 파일 등록(예 : C:\WINNT\services.exe -serv)
이후 파일을 검색해 메일 주소를 수집해 웜이 첨부된 메일을 보낸다.
감염된 컴퓨터가 많을 경우 메일 보낼 때 발생하는 네트워크 패킷으로 네트워크 장비에 무리가 갈 수 있다.
- 다른 웜 치료
다른 웜이 만든 레지스트리 값을 삭제해 해당 웜이 실행되지 않게 한다.
현재까지 파악된 치료 가능한 웜은 다음과 같다.
- Win32/MyDoom.worm.22528 및 변형
- Win32/MyDoom.worm.29184 및 변형
- Win32/Mimail.worm.14880
삭제되는 레지스트리 키는 다음과 같다.
- HKEY_LOCAL_MACHINE\SOFTWARE
\Microsoft\Windows\CurrentVersion\Run에서
Taskmon, Explorer, KasperskyAV, System.
- HKEY_CURRENT_USER\SOFTWARE
\Microsoft\Windows\CurrentVersion\RunServices에서
Taskmon, Explorer
- HKEY_CLASSES_ROOT\CLSID
\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
● 참고사항
* 이 웜은 감염된 시스템에서 수집한 메일 주소 중 하나를 임의로 선택해 발신인(보낸이)으로 메일을 보내므로 다음과 같은 상황이 발생 할 수 있다.
1. 메일 보낸 사람의 컴퓨터가 웜에 감염되었다고 오해 받을 수 있다.
2. 다른 사람이나 메일 백신 프로그램으로 부터 자신이 보낸적이 없는 메일에 대해서 바이러스를 치료하라는 메일을 받을 수 있다. 하지만, 자신의 컴퓨터를 최신 백신으로 검사해 봤을 때 아무 것도 검사되지 않았다.
실제 메일 보낸 곳을 확인하기 위해서는 발신인이 아니라 메일 헤더를 분석해야 한다.
번호 | 제목 | 글쓴이 | 조회 | 날짜 |
---|---|---|---|---|
106 | [이미지그래픽] [그래픽] 포토샵 샘플 강좌 | 함영기 | 2210 | 2005.04.25 16:29 |
105 | [이미지그래픽] [그래픽] 초보를 위한 포토샵 강좌 | 함영기 | 3618 | 2005.04.25 16:27 |
104 | 한글 고급기능 강의자료 | 함영기 | 2629 | 2005.04.19 10:36 |
103 | [컴퓨터활용] [정보] PC를 빠르게 사용하는 팁 10가지 [1] | 함영기 | 3939 | 2005.04.08 09:56 |
102 | [운영체제] 윈도우즈 XP 팁 BEST 60 | 함영기 | 3024 | 2005.01.20 17:19 |
101 | [기타소양] [ubiquitous] 초·중·고 U러닝시대 온다 | 함영기 | 2031 | 2005.01.20 09:44 |
100 | [무료] 움직이는 아이콘 116개 [2] | 함영기 | 3499 | 2004.11.17 06:50 |
99 | [기타소양] [정보윤리] 위험수위 넘은 개인정보 노출 | 함영기 | 2034 | 2004.11.04 09:54 |
98 | 윈도우 xp 배우기 동영상 강의 | 김창현 | 2318 | 2004.10.16 10:37 |
97 | [기타소양] [국립국어연구원] 컴퓨터 용어를 우리 말로 | 함영기 | 2494 | 2004.10.13 14:26 |
96 | [컴퓨터활용] [정보] 꿈의 컴퓨터 64 비트 컴퓨터 시대 개막 [3] | 함영기 | 2011 | 2004.09.09 08:38 |
95 | [인터넷활용] [어린이] 포털 사이트 새 학기 새 단장 | 함영기 | 2062 | 2004.09.09 08:32 |
94 | [인터넷활용] [검색] 전문가 교사를 위한 학습자원 DB | 함영기 | 1766 | 2004.08.25 19:44 |
93 | [기타소양] [IT] 휴대전화 진화 어디까지 가능한가 | 함영기 | 1714 | 2004.08.24 06:43 |
92 | [홈페이지] [소개] 내 홈페이지의 역사 한 눈에 보기 | 함영기 | 1594 | 2004.08.19 08:09 |
91 | [건강] e피로 증후군 해소법 | 함영기 | 1658 | 2004.08.09 18:21 |
90 | [인터넷활용] 특수기호의 정확한 이름...@은 골벵이가 아니고 앳 [2] | 함영기 | 8563 | 2004.06.25 07:24 |
89 | [정보] 구글 1기가 무료메일 준다 | 함영기 | 2843 | 2004.06.05 07:27 |
88 | 베이글P 웜 국내외 급속확산…사상최고 속도 우려 | 함영기 | 1294 | 2004.03.18 20:10 |
>> | [알림] Win32/Netsky.worm.22016 바이러스 | 함영기 | 2662 | 2004.03.09 08:31 |