Hi! How are you 이멜바이러스...

2001-07-25 00:00
장홍식 대표기자

potatotree@bodnara.co.kr

이름 : Win32/Sircam.worm
종류 : 웜
위험도 : 2등급
제작지 : 불분명
국내발견일 : 2001년 7월 19일
진단, 치료 : V3 19일자 엔진에서 가능
특정일 활동 : 미확인

내용 :

Win32/Sircam.worm 은 W32/ SirCam@MM ( McAfee ), I-Worm.Sircam( Kasperskylabs ) W32.Sircam.Worm@mm ( Symantec ), TROJ_SIRCAM.A( Trend Micro )로 불리는 웜으로 국내에는 2001년 7월 처음 발견되었다.

다음과 같은 형식으로 메일링된다.
--------------------------------------------------------------------------
제목 : 첨부되는 파일 이름과 동일

첫줄 내용: Hi! How are you?

가운데 들어 가는 내용 : I send you this file in order to have your advice
4개의 문장중 랜덤하게 I hope you can help me with this file that I send
하나 선택되어 들어감 I hope you like the file that I sendo you
This is the file with the information that you ask for

마지막 내용 : See you later. Thanks

첫줄 내용 : Hola como estas ?

가운데 들어 가는 내용 : Te mando este archivo para que me des tu punto de vista
4개의 문장중 랜덤하게 Espero me puedas ayudar con el archivo que te mando
하나 선택되어 들어감 Espero te guste este archivo que te mando
Este es el archivo con la informaci? que me pediste

마지막 내용 : Nos vemos pronto, gracias.
--------------------------------------------------------------------------

* 확산 특징
E-MAIL 발송 시 자체적으로 SMTP 서버를 사용하기 때문에, 인터넷만 연결 가능한 상태라면 쉽게 퍼진다.
아웃룩 주소록 파일과 익스플로러 캐쉬 디렉토리의 HTML 파일(각 웹 사이트에 공개된 주소가 저장된 파일)을 복사해 주소록 파일을 만들어, 이 주소록으로 메일을 발송한다.

* 기타 사항
웜과 정상 파일이 같이 붙어 있는데, 웜 실행 시, 웜이 일단 실행된 후 뒤에 붙은 정상 프로그램이 같이 실행된다.

웜이 실행되면 C:RECYCLED 폴더에 숨김 속성으로 SIRC32.EXE 파일과 웜 뒤에 붙어 있는 정상 파일이 생성되며, TEMP 폴더( 일반적으로, C:WINDOWSTEMP )에도 웜의 뒤에 붙어 있는 정상 파일을 생성시킨다.

TEMP 폴더에 생성된 파일이 실제적으로 사용되는 파일로, 수정 등의 작업을 했을 때 이곳의 파일이 수정된다.

또한, 윈도우 시스템 폴더( 일반적으로 C:WINDOWSSYSTEM )에 SCam32.EXE 파일이 생성되는데,
이 파일이 윈도우 부팅시 실행되는 실제 파일이다.

웜이 실행되면 레지스트리에 다음의 값이 추가된다.

HKEY_CLASSES_ROOTexefileshellopencommand 항목에
기본값 = "C: ecycledSirC32.exe" "%1" %*

위의 값이 추가되면 윈도우에서 실행되는 모든 EXE 파일 실행 시 웜이 먼저 실행되기 때문에 윈도우가 느려질 수 있다.

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices 항목에
Driver32 = "C:WINDOWSSYSTEMSCam32.exe가,
HKEY_LOCAL_MACHINESoftware 메뉴에 SirCam 메뉴가 추가된다.

다음은 안철수 연구소를 통해 접수된 피해 상황이다.

1. 전화 접수
19일(목요일) : 6건
20일(금요일) : 73건
21일(토요일) : 41건
23일(월요일) : 184건
24일(화요일) : 137건

2. 온라인 접수
19일 ~ 24일 11시 현재 : 97건

기업상담 : 89건
일반상담 : 352건

1. 메일 클라이언트가 필요 없이(아웃룩 필요 없음) 자체 SMTP 기능을 이용하여 인터넷만 연결되어 있다면 메일을 발송한다.

2. 메일에 첨부된 파일이, 러브레터처럼 특징이 있는 파일이 아니라 감염된 시스템에 존재하는 워드, 엑셀, ZIP, EXE 파일 등이어서 메일을 받은 사람들로 하여금 주의하지 않고 그 파일을 열어보게 유도했다.
정보 유출의 문제도 있다.

닉네임

비회원

보드나라 많이 본 뉴스

아크 A 시리즈도 OK, 인텔 XeSS MFG 지원 확대 드라이버 배포

파이슨 CEO, 메모리 부족 상황에 저가 업체 도산 가능성 지적

애플, 중국 CXMT 및 YMTC와 메모리 공급 협력 검토?

보드나라 많이 본 기사

성능과 튜닝 잡은 실속있는 타워형 쿨러,ALSEYE Q120S Plus

오늘의 AMD는 한 단계 더 진화한다, AMD 라이젠 7 9850X3D

보드나라 최신 기사

[07/25] 넥슨, 패트릭 쇠더룬드 회장(Executive Chairman) 선임

[07/25] 오버워치, 1시즌 '정복' 호평 속 특별 게임 내 이벤트 진행!

[07/25] 서린씨앤아이, 일러스타 페스 10 예스톤 부스에 협찬 및 이벤트 진행

[07/25] 웹젠 R2, 오리지널 리부트 서버 캐릭터명 선점 이벤트 진행

[07/25] 엔비디아, 지포스 RTX RTX GPU DGX 스파크에서 오픈클로 로컬 실행 지원

[07/25] 멘딕스-JB금융그룹, New Tech+비즈니스 경진대회 성료

[07/25] 메모리 확보 전쟁 시대에 비싼 메모리에 대처하는 시장 이야기, 램버스 [PC흥망사 17-1]

[07/25] 님블뉴런 '이터널 리턴', 전세계 2,700만장 이상 판매된 ‘페르소나’ 시리즈 최신 타이틀 ‘페르소나5 더 로열‘과 콜라보 진행

[07/25] ‘초월의 소환서’ 획득 도전! 컴투스 ‘서머너즈 워’, 미션 이벤트 실시

[07/25] ipTIME, 와이파이6 지원 크래들 일체형 공유기 AX3004R 출시

[07/25] 각성 진화 전략 RPG ‘DX: 각성자들’, 3월 5일로 출시 일정 확정

[07/25] 폭스바겐코리아, 2026년 ‘Feel & Drive’ 시승 캠페인 전개

[07/25] 사로아시스 스튜디오, 신작 ‘페이트 트리거’ 스팀 넥스트 페스트 참가.. 플레이 테스트 돌입

[07/25] ‘명조:워더링 웨이브’, 명조 X 컴포즈커피 세미팝업 정식 오픈

[07/25] 컴투스홀딩스, 서울디지텍고등학교와 게임 및 디지털 인재 양성 위한 업무협약 체결

[07/25] 덱빌딩 로그라이트 신작 '덱랜드', 스팀 넥스트 페스트 참가! 최신 데모 공개 예정!

[07/25] 전력 한계와 전압 낮춘 지포스 RTX 5090서도 커넥터 번 이슈 발생

[07/25] 구글, 추론 성능 두 배 향상된 제미나이 3.1 프로 출시

[07/25] WD, 전문 콘텐츠 크리에이터용 스토리지 포트폴리오 G-DRIVE 브랜드로 통합

[07/25] 서린씨앤아이, 써멀라이트 120mm 쿨링팬 TL-S12-S ARGB 벌크 모델 출시

로그인 | 이 페이지의 PC버전