Hi! How are you 이멜바이러스...

2001-07-25 00:00
장홍식 대표기자

potatotree@bodnara.co.kr

이름 : Win32/Sircam.worm
종류 : 웜
위험도 : 2등급
제작지 : 불분명
국내발견일 : 2001년 7월 19일
진단, 치료 : V3 19일자 엔진에서 가능
특정일 활동 : 미확인

내용 :

Win32/Sircam.worm 은 W32/ SirCam@MM ( McAfee ), I-Worm.Sircam( Kasperskylabs ) W32.Sircam.Worm@mm ( Symantec ), TROJ_SIRCAM.A( Trend Micro )로 불리는 웜으로 국내에는 2001년 7월 처음 발견되었다.

다음과 같은 형식으로 메일링된다.
--------------------------------------------------------------------------
제목 : 첨부되는 파일 이름과 동일

첫줄 내용: Hi! How are you?

가운데 들어 가는 내용 : I send you this file in order to have your advice
4개의 문장중 랜덤하게 I hope you can help me with this file that I send
하나 선택되어 들어감 I hope you like the file that I sendo you
This is the file with the information that you ask for

마지막 내용 : See you later. Thanks

첫줄 내용 : Hola como estas ?

가운데 들어 가는 내용 : Te mando este archivo para que me des tu punto de vista
4개의 문장중 랜덤하게 Espero me puedas ayudar con el archivo que te mando
하나 선택되어 들어감 Espero te guste este archivo que te mando
Este es el archivo con la informaci? que me pediste

마지막 내용 : Nos vemos pronto, gracias.
--------------------------------------------------------------------------

* 확산 특징
E-MAIL 발송 시 자체적으로 SMTP 서버를 사용하기 때문에, 인터넷만 연결 가능한 상태라면 쉽게 퍼진다.
아웃룩 주소록 파일과 익스플로러 캐쉬 디렉토리의 HTML 파일(각 웹 사이트에 공개된 주소가 저장된 파일)을 복사해 주소록 파일을 만들어, 이 주소록으로 메일을 발송한다.

* 기타 사항
웜과 정상 파일이 같이 붙어 있는데, 웜 실행 시, 웜이 일단 실행된 후 뒤에 붙은 정상 프로그램이 같이 실행된다.

웜이 실행되면 C:RECYCLED 폴더에 숨김 속성으로 SIRC32.EXE 파일과 웜 뒤에 붙어 있는 정상 파일이 생성되며, TEMP 폴더( 일반적으로, C:WINDOWSTEMP )에도 웜의 뒤에 붙어 있는 정상 파일을 생성시킨다.

TEMP 폴더에 생성된 파일이 실제적으로 사용되는 파일로, 수정 등의 작업을 했을 때 이곳의 파일이 수정된다.

또한, 윈도우 시스템 폴더( 일반적으로 C:WINDOWSSYSTEM )에 SCam32.EXE 파일이 생성되는데,
이 파일이 윈도우 부팅시 실행되는 실제 파일이다.

웜이 실행되면 레지스트리에 다음의 값이 추가된다.

HKEY_CLASSES_ROOTexefileshellopencommand 항목에
기본값 = "C: ecycledSirC32.exe" "%1" %*

위의 값이 추가되면 윈도우에서 실행되는 모든 EXE 파일 실행 시 웜이 먼저 실행되기 때문에 윈도우가 느려질 수 있다.

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices 항목에
Driver32 = "C:WINDOWSSYSTEMSCam32.exe가,
HKEY_LOCAL_MACHINESoftware 메뉴에 SirCam 메뉴가 추가된다.

다음은 안철수 연구소를 통해 접수된 피해 상황이다.

1. 전화 접수
19일(목요일) : 6건
20일(금요일) : 73건
21일(토요일) : 41건
23일(월요일) : 184건
24일(화요일) : 137건

2. 온라인 접수
19일 ~ 24일 11시 현재 : 97건

기업상담 : 89건
일반상담 : 352건

1. 메일 클라이언트가 필요 없이(아웃룩 필요 없음) 자체 SMTP 기능을 이용하여 인터넷만 연결되어 있다면 메일을 발송한다.

2. 메일에 첨부된 파일이, 러브레터처럼 특징이 있는 파일이 아니라 감염된 시스템에 존재하는 워드, 엑셀, ZIP, EXE 파일 등이어서 메일을 받은 사람들로 하여금 주의하지 않고 그 파일을 열어보게 유도했다.
정보 유출의 문제도 있다.

닉네임

비회원

보드나라 많이 본 뉴스

인텔 팬서 레이크 CPU 성능 유출, 이 정도라고?

윈도우 게임의 약 89%가 리눅스서 플레이 가능

AMD 라데온 RX 5000/ RX 6000 시리즈 최신 게임 지원 중단

보드나라 많이 본 기사

PC를 내주고 서버를 얻어야 하는, 인텔판 대혼돈의 멀티버스 [인텔 25-26전략 2부]

12년만에 새롭게 제대로 열린 현대전장, 배틀필드 6

흔들리지 않고 편안한 기계식 키보드, WOB CRUSH80 리부트

보드나라 최신 기사

[07/25] 게임의 계절 11월, MSI 그래픽카드 구매하면 스팀월렛이 따라온다!

[07/25] MSI, 지포스 RTX 50 시리즈 11월 구매 고객 대상 사용 후기 이벤트 진행

[07/25] 모바일 방치형 RPG ‘열혈강호: 화룡전’ 정식서비스 시작!!

[07/25] AWS, 오픈AI와 380억 달러 규모의 전략적 파트너십 체결

[07/25] 넥슨, ‘FC 온라인’ 전국 고교 반 대항 축구대회 ‘2025 넥슨 챔피언스 컵’ 성료!

[07/25] 서린씨앤아이, 겨울맞이 조립PC 프로모션 진행

[07/25] 기가바이트, 32인치 4K UHD M32U 게이밍 모니터 빅스마일데이 ‘역대가’ 판매

[07/25] 마우저, AMD ‘스파르탄 울트라스케일+(Spartan UltraScale+)’ FPGA 공급

[07/25] 파인인포, 블랙프라이데이 맞아 100% 당첨 럭키드로우 이벤트 진행

[07/25] 포르쉐코리아, 딜러 네트워크 강화 위한 ‘포르쉐 리테일 루미너리 프로그램 2025’ 진행

[07/25] ‘승리의 여신: 니케’, 제2회 오케스트라 콘서트 개최! 11월 4일부터 티켓 판매 시작

[07/25] 디즈니+, CJ ENM과 전략적 콘텐츠 파트너십 체결

[07/25] 큐로드, 지스타에서 ‘게임 올인원 서비스’ 운영 적용 사례 공개

[07/25] 기가바이트, RTX 5090 탑재 플래그십 게이밍 노트북 ‘AORUS MASTER 18’ 지마켓 빅스마일 참가

[07/25] 컴투스플랫폼 ‘하이브플랫폼’, ‘포켓 게이머 커넥츠’서 글로벌 진출 노하우 공유

[07/25] 스포티파이-네이버, 사용자 오디오 감상 경험 다변화 위해 전략적 파트너십 체결

[07/25] ipTIME, AC1300급 천장형 무선 AP ‘Ring-GIGA3’ 출시

[07/25] 넷마블문화재단, ‘2025 넷마블게임소통학교’ 참가자 모집

[07/25] 거미입니다만, 문제라도? 미궁의 지배자, 애니메이션 '무직전생'과 콜라보 개최

[07/25] 아나로그디바이스, 임베디드 AI 개발을 간소화 및 가속화하는 CodeFusion Studio™ 2.0 공개

로그인 | 이 페이지의 PC버전