 |
바이러스 문제 참고하세요
맥전도사
0
749
2001.07.25 23:04
맥킨토시하고는 아무런 상관이 없습니다. 걱정하지 마세요...
그 바이러스는 윈만 걸립니다...
메일로 보내져 온걸 열어 봤어도 맥은 아무런 상관없어요...
그냥 지워 버리세요.
혹시 윈(아범)이라면 아래글 참고하세요...
바이러스에 대한 정보를 알려 드리겠습니다.
바이러스가 묻어 있는 메일의 전문은 다음과 같습니다.
Hi! How are you?
I send you this file in order to have your advice
See you later. Thanks
내용은 이렇구요 바이러스 체크 후 다운로드를 하시게 되면
바로 다운로드가 되는 것이 아니구 바이러스 체크부터 하게 되는데요,
제가 확인해 본 결과 Win32/Sircam.worm 이라는 바이러스가 감염된
파일이 첨부되어 있음을 확인할 수 있었습니다.
파일을 다운로드 하시지 않으시길 바랍니다.
이름 Win32/Sircam.worm 위험도 2등급(위험)
종류 웜 유형 윈도우파일
국내발견일 2001-07-19 제작국 불분명
특정활동일 특정일 활동 없음 치료가능여부 진단 치료
증상 * 자체 SMTP 기능이 있어 별도의 메일 응용 프로그램이 없어도 인터넷
연결만 되어 있다면 메일을 발송한다.
* 감염된 사용자의 하드 디스크내 파일이 첨부되어 발송되므로 사용자
정보유출의 문제가 있다.
내용 Win32/Sircam.worm 은 W32/SirCam@MM(McAfee),
I-Worm.Sircam(Kasperskylabs),W32.Sircam.Worm@mm(Symantec), TROJ_SIRCAM.A(Trend Micro)로
불리는 웜으로 국내에는 2001년 7월 처음 발견되었다.
이 웜은 웜 과 정상 파일이 같이 붙어있는데 웜 실행시 웜이 일단 실행된후
뒤에 붙은 정상 프로그램을 같이 실행 시켜 주게 된다. 웜이 실행 되면
C:\RECYCLED 폴더에 숨김속성으로 SIRC32.EXE 파일과 웜뒤에 붙어 있는 정상
파일이 생성 되며 TEMP 폴더 (일반적으로, C:\WINDOWS\TEMP)에도 웜의 뒤에
붙어 있는 정상 파일을 생성 시킨다.
TEMP 폴더에 생성된 파일이 실제적으로 사용 되는 파일로 수정등의 작업을
했을때 이곳의 파일이 수정된다. 또한 윈도우 시스템 폴더 (일반적으로
c:\WINDOWS\SYSTEM) 폴더에 SCam32.EXE 파일이 생성되며 이 파일이 윈도우 부팅시
실행되는 실제 파일이다.
웜이 실행되면 레지스트리에 다음의 값이 추가 된다.
HKEY_CLASSES_ROOT\exefile\shell\open\command 항목에
기본값 = "C:\recycled\SirC32.exe" "%1" %*
위의 값이 추가 되면 윈도우에서 실행되는 모든 EXE 파일 실행시 웜이 먼저
실행 하기 때문에 윈도우가 느려질수 있다.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunServices 항목에 Driver32 = "C:\WINDOWS\SYSTEM\SCam32.exe"
HKEY_LOCAL_MACHINE\Software 메뉴에 SirCam 메뉴가 추가 된다.
웜은 E-MAIL 로 전파가 되며 다음과 같은 형식으로 전파가 된다.
제목 : 첨부되는 파일 이름과 동일
영어 메일
첫줄 내용: Hi! How are you?
가운데 들어 가는 내용은 다음의 4개의 문장중 랜덤하게 하나가 선택되어
포함된다.
I send you this file in order to have your advice
I hope you can help me with this file that I send
I hope you like the file that I sendo you
This is the file with the information that you ask for
마지막 내용 : See you later. Thanks
스페인어 메일
첫줄 내용 : Hola como estas ?
가운데 들어 가는 내용은 다음의 4개의 문장중 랜덤하게 하나가 선택되어
포함된다.
Te mando este archivo para que me des tu punto de vista
Espero me puedas ayudar con el archivo que te mando
Espero te guste este archivo que te mando
Este es el archivo con la informaci? que me pediste
마지막 내용 : Nos vemos pronto, gracias.
윈도우 시스템 폴더 (일반적으로 C:\WINDOWS\SYSTEM)에 생성되는 파일중
SCD.DLL, SCI1.DLL, SCW1.DLL 의 파일등이 생성 되는데 이중 SCI1.DLL 파일의
경우 인터넷 익스 플로러의 캐쉬 디렉토리에서 추출한 메일 주소이며
SCW1.DLL 파일의 경우 윈도우 주소록에 존재 하는 사용자의 메일 주소를 저장해놓은
파일이다. E-MAIL 로 웜 전파시 이 파일을 참고 해서사용자들에게 전파 되게
된다.
E-MAIL 로 전파시 자체적으로 SMTP 서버를 사용하게 되기 때문에 인터넷만
연결 가능한 상태라면 쉽게 퍼지게 된다.
치료방법 * V3 제품군 사용자
- V3제품군에 이미 진단, 치료(삭제)기능이 포함되어 있어 웜을 사전예방할
수 있다.
* 웜은 해당 파일 자체가 악성 프로그램으로 삭제하는 것이 치료이다.
- 전용백신을 이용하면 쉽게 치료가 가능하다.
* V3 제품군 미사용자
* 메일에 의심가는 파일이 첨부되어 있다면 실행시키지 않는 것이 좋으며
바이러스로 의심이 갈때는 연구소로 전송하여 문의하도록 한다.
- 전용백신을 이용하면 쉽게 치료가 가능하다.
◈ 소년s94 ─ 아범사용자인경우 http://www.ahnlab.com에서 killsir.exe를 다운받아서 디스켓에 담고 그 디스켓으로 치료한답니다
◈ 소년s94 ─ 헤~ http://home.ahnlab.com 이군^^
그 바이러스는 윈만 걸립니다...
메일로 보내져 온걸 열어 봤어도 맥은 아무런 상관없어요...
그냥 지워 버리세요.
혹시 윈(아범)이라면 아래글 참고하세요...
바이러스에 대한 정보를 알려 드리겠습니다.
바이러스가 묻어 있는 메일의 전문은 다음과 같습니다.
Hi! How are you?
I send you this file in order to have your advice
See you later. Thanks
내용은 이렇구요 바이러스 체크 후 다운로드를 하시게 되면
바로 다운로드가 되는 것이 아니구 바이러스 체크부터 하게 되는데요,
제가 확인해 본 결과 Win32/Sircam.worm 이라는 바이러스가 감염된
파일이 첨부되어 있음을 확인할 수 있었습니다.
파일을 다운로드 하시지 않으시길 바랍니다.
이름 Win32/Sircam.worm 위험도 2등급(위험)
종류 웜 유형 윈도우파일
국내발견일 2001-07-19 제작국 불분명
특정활동일 특정일 활동 없음 치료가능여부 진단 치료
증상 * 자체 SMTP 기능이 있어 별도의 메일 응용 프로그램이 없어도 인터넷
연결만 되어 있다면 메일을 발송한다.
* 감염된 사용자의 하드 디스크내 파일이 첨부되어 발송되므로 사용자
정보유출의 문제가 있다.
내용 Win32/Sircam.worm 은 W32/SirCam@MM(McAfee),
I-Worm.Sircam(Kasperskylabs),W32.Sircam.Worm@mm(Symantec), TROJ_SIRCAM.A(Trend Micro)로
불리는 웜으로 국내에는 2001년 7월 처음 발견되었다.
이 웜은 웜 과 정상 파일이 같이 붙어있는데 웜 실행시 웜이 일단 실행된후
뒤에 붙은 정상 프로그램을 같이 실행 시켜 주게 된다. 웜이 실행 되면
C:\RECYCLED 폴더에 숨김속성으로 SIRC32.EXE 파일과 웜뒤에 붙어 있는 정상
파일이 생성 되며 TEMP 폴더 (일반적으로, C:\WINDOWS\TEMP)에도 웜의 뒤에
붙어 있는 정상 파일을 생성 시킨다.
TEMP 폴더에 생성된 파일이 실제적으로 사용 되는 파일로 수정등의 작업을
했을때 이곳의 파일이 수정된다. 또한 윈도우 시스템 폴더 (일반적으로
c:\WINDOWS\SYSTEM) 폴더에 SCam32.EXE 파일이 생성되며 이 파일이 윈도우 부팅시
실행되는 실제 파일이다.
웜이 실행되면 레지스트리에 다음의 값이 추가 된다.
HKEY_CLASSES_ROOT\exefile\shell\open\command 항목에
기본값 = "C:\recycled\SirC32.exe" "%1" %*
위의 값이 추가 되면 윈도우에서 실행되는 모든 EXE 파일 실행시 웜이 먼저
실행 하기 때문에 윈도우가 느려질수 있다.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunServices 항목에 Driver32 = "C:\WINDOWS\SYSTEM\SCam32.exe"
HKEY_LOCAL_MACHINE\Software 메뉴에 SirCam 메뉴가 추가 된다.
웜은 E-MAIL 로 전파가 되며 다음과 같은 형식으로 전파가 된다.
제목 : 첨부되는 파일 이름과 동일
영어 메일
첫줄 내용: Hi! How are you?
가운데 들어 가는 내용은 다음의 4개의 문장중 랜덤하게 하나가 선택되어
포함된다.
I send you this file in order to have your advice
I hope you can help me with this file that I send
I hope you like the file that I sendo you
This is the file with the information that you ask for
마지막 내용 : See you later. Thanks
스페인어 메일
첫줄 내용 : Hola como estas ?
가운데 들어 가는 내용은 다음의 4개의 문장중 랜덤하게 하나가 선택되어
포함된다.
Te mando este archivo para que me des tu punto de vista
Espero me puedas ayudar con el archivo que te mando
Espero te guste este archivo que te mando
Este es el archivo con la informaci? que me pediste
마지막 내용 : Nos vemos pronto, gracias.
윈도우 시스템 폴더 (일반적으로 C:\WINDOWS\SYSTEM)에 생성되는 파일중
SCD.DLL, SCI1.DLL, SCW1.DLL 의 파일등이 생성 되는데 이중 SCI1.DLL 파일의
경우 인터넷 익스 플로러의 캐쉬 디렉토리에서 추출한 메일 주소이며
SCW1.DLL 파일의 경우 윈도우 주소록에 존재 하는 사용자의 메일 주소를 저장해놓은
파일이다. E-MAIL 로 웜 전파시 이 파일을 참고 해서사용자들에게 전파 되게
된다.
E-MAIL 로 전파시 자체적으로 SMTP 서버를 사용하게 되기 때문에 인터넷만
연결 가능한 상태라면 쉽게 퍼지게 된다.
치료방법 * V3 제품군 사용자
- V3제품군에 이미 진단, 치료(삭제)기능이 포함되어 있어 웜을 사전예방할
수 있다.
* 웜은 해당 파일 자체가 악성 프로그램으로 삭제하는 것이 치료이다.
- 전용백신을 이용하면 쉽게 치료가 가능하다.
* V3 제품군 미사용자
* 메일에 의심가는 파일이 첨부되어 있다면 실행시키지 않는 것이 좋으며
바이러스로 의심이 갈때는 연구소로 전송하여 문의하도록 한다.
- 전용백신을 이용하면 쉽게 치료가 가능하다.
◈ 소년s94 ─ 아범사용자인경우 http://www.ahnlab.com에서 killsir.exe를 다운받아서 디스켓에 담고 그 디스켓으로 치료한답니다
◈ 소년s94 ─ 헤~ http://home.ahnlab.com 이군^^