Hi! How are you 이멜바이러스...

2001-07-25 00:00
장홍식 대표기자

potatotree@bodnara.co.kr

이름 : Win32/Sircam.worm
종류 : 웜
위험도 : 2등급
제작지 : 불분명
국내발견일 : 2001년 7월 19일
진단, 치료 : V3 19일자 엔진에서 가능
특정일 활동 : 미확인

내용 :

Win32/Sircam.worm 은 W32/ SirCam@MM ( McAfee ), I-Worm.Sircam( Kasperskylabs ) W32.Sircam.Worm@mm ( Symantec ), TROJ_SIRCAM.A( Trend Micro )로 불리는 웜으로 국내에는 2001년 7월 처음 발견되었다.

다음과 같은 형식으로 메일링된다.
--------------------------------------------------------------------------
제목 : 첨부되는 파일 이름과 동일

첫줄 내용: Hi! How are you?

가운데 들어 가는 내용 : I send you this file in order to have your advice
4개의 문장중 랜덤하게 I hope you can help me with this file that I send
하나 선택되어 들어감 I hope you like the file that I sendo you
This is the file with the information that you ask for

마지막 내용 : See you later. Thanks

첫줄 내용 : Hola como estas ?

가운데 들어 가는 내용 : Te mando este archivo para que me des tu punto de vista
4개의 문장중 랜덤하게 Espero me puedas ayudar con el archivo que te mando
하나 선택되어 들어감 Espero te guste este archivo que te mando
Este es el archivo con la informaci? que me pediste

마지막 내용 : Nos vemos pronto, gracias.
--------------------------------------------------------------------------

* 확산 특징
E-MAIL 발송 시 자체적으로 SMTP 서버를 사용하기 때문에, 인터넷만 연결 가능한 상태라면 쉽게 퍼진다.
아웃룩 주소록 파일과 익스플로러 캐쉬 디렉토리의 HTML 파일(각 웹 사이트에 공개된 주소가 저장된 파일)을 복사해 주소록 파일을 만들어, 이 주소록으로 메일을 발송한다.

* 기타 사항
웜과 정상 파일이 같이 붙어 있는데, 웜 실행 시, 웜이 일단 실행된 후 뒤에 붙은 정상 프로그램이 같이 실행된다.

웜이 실행되면 C:RECYCLED 폴더에 숨김 속성으로 SIRC32.EXE 파일과 웜 뒤에 붙어 있는 정상 파일이 생성되며, TEMP 폴더( 일반적으로, C:WINDOWSTEMP )에도 웜의 뒤에 붙어 있는 정상 파일을 생성시킨다.

TEMP 폴더에 생성된 파일이 실제적으로 사용되는 파일로, 수정 등의 작업을 했을 때 이곳의 파일이 수정된다.

또한, 윈도우 시스템 폴더( 일반적으로 C:WINDOWSSYSTEM )에 SCam32.EXE 파일이 생성되는데,
이 파일이 윈도우 부팅시 실행되는 실제 파일이다.

웜이 실행되면 레지스트리에 다음의 값이 추가된다.

HKEY_CLASSES_ROOTexefileshellopencommand 항목에
기본값 = "C: ecycledSirC32.exe" "%1" %*

위의 값이 추가되면 윈도우에서 실행되는 모든 EXE 파일 실행 시 웜이 먼저 실행되기 때문에 윈도우가 느려질 수 있다.

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices 항목에
Driver32 = "C:WINDOWSSYSTEMSCam32.exe가,
HKEY_LOCAL_MACHINESoftware 메뉴에 SirCam 메뉴가 추가된다.

다음은 안철수 연구소를 통해 접수된 피해 상황이다.

1. 전화 접수
19일(목요일) : 6건
20일(금요일) : 73건
21일(토요일) : 41건
23일(월요일) : 184건
24일(화요일) : 137건

2. 온라인 접수
19일 ~ 24일 11시 현재 : 97건

기업상담 : 89건
일반상담 : 352건

1. 메일 클라이언트가 필요 없이(아웃룩 필요 없음) 자체 SMTP 기능을 이용하여 인터넷만 연결되어 있다면 메일을 발송한다.

2. 메일에 첨부된 파일이, 러브레터처럼 특징이 있는 파일이 아니라 감염된 시스템에 존재하는 워드, 엑셀, ZIP, EXE 파일 등이어서 메일을 받은 사람들로 하여금 주의하지 않고 그 파일을 열어보게 유도했다.
정보 유출의 문제도 있다.

닉네임

비회원

보드나라 많이 본 뉴스

인텔 파운드리 살아날까, 애플과 엔비디아가 인텔 14A 공정에 관심?

애플 웨이보 계정에 삼성 갤럭시 Z 폴드 7 홍보 영상 노출

명말 공허의 깃털 최적화 패치, 해상도 눈속임 논란

보드나라 많이 본 기사

드디어 E코어 빼고 나오는 인텔 바틀렛레이크, 하반기 PC 시장 흔들 돌풍의 핵 되나?

삼성전자 갤럭시 Z 폴드7·플립7 발표, 갤럭시 워치8 시리즈도 공개

52코어 X3D 노바레이크/바틀렛레이크/인텔 B770 출시확정/엔비디아 N1X ARM CPU,2분기 PC시장 루머 이슈 뉴스 해석

보드나라 최신 기사

[07/25] ‘컴투스프로야구V25’ X ‘다음(Daum) 스포츠’ 제휴 이벤트 실시

[07/25] 라이프웍스 ‘HP 255 G10 B7NK1AT 16GB Win11’ 쿠팡에서 단독 사전 예약 판매

[07/25] 르노코리아, 2025년 7월 내수 4000대 및 수출 3251대로 총 7251대 판매

[07/25] ARRI, 새로운 고속 카메라 ALEXA 35 Xtreme 및 ARRICORE 코덱 발표

[07/25] LAN 포트없는 노트북서 안정적 유선 네트워크를,ipTIME U2LAN/ UC2LAN

[07/25] CTW, 신규 게임 ‘짱구는 못말려 나의 주사위 놀이 대작전’ 카카오톡 채널 추가 시 ‘구글 기프트 카드 5만원권’ 이벤트 진행

[07/25] 기가바이트 GAMING A16, 쿠팡에서 단독 사전예약 시작

[07/25] 애플 2025 회계년도 3분기 실적 발표, 매출 10% 증가한 940억 달러 기록

[07/25] 라이엇 게임즈, 오늘 성수동에 TFT 팝업 개장

[07/25] 넥슨, ‘메이플스토리 월드’ 내 ‘리메이크 월드’ 프로그램 접수 개시

[07/25] 넥슨, ‘메이플스토리M’ 신규 주간 보스 ‘선택받은 세렌’ 업데이트!

[07/25] ‘소드 오브 콘발라리아’, 1주년 기념 업데이트 실시

[07/25] 게이밍 고성능 작업 지원 AERO X16 1VH 32GB, 쿠팡 단독 사전예약 특가 실시

[07/25] 둠스데이: 라스트 서바이버, 영화 ‘고질라 X 콩: 뉴 엠파이어’와 콜라보레이션 진행

[07/25] ‘SD건담 지 제네레이션 이터널’ 전 세계 600만 다운로드 돌파 기념 이벤트 진행

[07/25] 삼성전자, '무빙스타일 엣지' 출시.. 소비자 선택 폭 넓혀

[07/25] 엔비디아, 10월에 맥스웰과 파스칼 GPU 게임 레디 드라이버 지원 종료

[07/25] 삼성전자, 시장 경쟁력 확보 위해 HBM3E 가격 인하?

[07/25] 인텔, 랩터 레이크 기반 코어 5 120 출시

[07/25] 밸로프, ‘라스트오리진 X 소울워커’ 콜라보 라이브 방송 실시…8월 업데이트 사전 공개

로그인 | 이 페이지의 PC버전