Hi! How are you 이멜바이러스...

2001-07-25 00:00
장홍식 대표기자

potatotree@bodnara.co.kr

이름 : Win32/Sircam.worm
종류 : 웜
위험도 : 2등급
제작지 : 불분명
국내발견일 : 2001년 7월 19일
진단, 치료 : V3 19일자 엔진에서 가능
특정일 활동 : 미확인

내용 :

Win32/Sircam.worm 은 W32/ SirCam@MM ( McAfee ), I-Worm.Sircam( Kasperskylabs ) W32.Sircam.Worm@mm ( Symantec ), TROJ_SIRCAM.A( Trend Micro )로 불리는 웜으로 국내에는 2001년 7월 처음 발견되었다.

다음과 같은 형식으로 메일링된다.
--------------------------------------------------------------------------
제목 : 첨부되는 파일 이름과 동일

첫줄 내용: Hi! How are you?

가운데 들어 가는 내용 : I send you this file in order to have your advice
4개의 문장중 랜덤하게 I hope you can help me with this file that I send
하나 선택되어 들어감 I hope you like the file that I sendo you
This is the file with the information that you ask for

마지막 내용 : See you later. Thanks

첫줄 내용 : Hola como estas ?

가운데 들어 가는 내용 : Te mando este archivo para que me des tu punto de vista
4개의 문장중 랜덤하게 Espero me puedas ayudar con el archivo que te mando
하나 선택되어 들어감 Espero te guste este archivo que te mando
Este es el archivo con la informaci? que me pediste

마지막 내용 : Nos vemos pronto, gracias.
--------------------------------------------------------------------------

* 확산 특징
E-MAIL 발송 시 자체적으로 SMTP 서버를 사용하기 때문에, 인터넷만 연결 가능한 상태라면 쉽게 퍼진다.
아웃룩 주소록 파일과 익스플로러 캐쉬 디렉토리의 HTML 파일(각 웹 사이트에 공개된 주소가 저장된 파일)을 복사해 주소록 파일을 만들어, 이 주소록으로 메일을 발송한다.

* 기타 사항
웜과 정상 파일이 같이 붙어 있는데, 웜 실행 시, 웜이 일단 실행된 후 뒤에 붙은 정상 프로그램이 같이 실행된다.

웜이 실행되면 C:RECYCLED 폴더에 숨김 속성으로 SIRC32.EXE 파일과 웜 뒤에 붙어 있는 정상 파일이 생성되며, TEMP 폴더( 일반적으로, C:WINDOWSTEMP )에도 웜의 뒤에 붙어 있는 정상 파일을 생성시킨다.

TEMP 폴더에 생성된 파일이 실제적으로 사용되는 파일로, 수정 등의 작업을 했을 때 이곳의 파일이 수정된다.

또한, 윈도우 시스템 폴더( 일반적으로 C:WINDOWSSYSTEM )에 SCam32.EXE 파일이 생성되는데,
이 파일이 윈도우 부팅시 실행되는 실제 파일이다.

웜이 실행되면 레지스트리에 다음의 값이 추가된다.

HKEY_CLASSES_ROOTexefileshellopencommand 항목에
기본값 = "C: ecycledSirC32.exe" "%1" %*

위의 값이 추가되면 윈도우에서 실행되는 모든 EXE 파일 실행 시 웜이 먼저 실행되기 때문에 윈도우가 느려질 수 있다.

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices 항목에
Driver32 = "C:WINDOWSSYSTEMSCam32.exe가,
HKEY_LOCAL_MACHINESoftware 메뉴에 SirCam 메뉴가 추가된다.

다음은 안철수 연구소를 통해 접수된 피해 상황이다.

1. 전화 접수
19일(목요일) : 6건
20일(금요일) : 73건
21일(토요일) : 41건
23일(월요일) : 184건
24일(화요일) : 137건

2. 온라인 접수
19일 ~ 24일 11시 현재 : 97건

기업상담 : 89건
일반상담 : 352건

1. 메일 클라이언트가 필요 없이(아웃룩 필요 없음) 자체 SMTP 기능을 이용하여 인터넷만 연결되어 있다면 메일을 발송한다.

2. 메일에 첨부된 파일이, 러브레터처럼 특징이 있는 파일이 아니라 감염된 시스템에 존재하는 워드, 엑셀, ZIP, EXE 파일 등이어서 메일을 받은 사람들로 하여금 주의하지 않고 그 파일을 열어보게 유도했다.
정보 유출의 문제도 있다.

닉네임

비회원

보드나라 많이 본 뉴스

닌텐도 스위치2, 추첨 판매에서 온라인 가입자 응모 판매로 전환

25Q1 GPU 점유율, AMD와 인텔은 줄고 엔비디아 증가

엔비디아의 Arm CPU 성능, AMD와 인텔 모바일 상위 모델 위협 수준?

보드나라 많이 본 기사

RTX 50 시리즈 의외의 다크호스, GAINWARD 지포스 RTX 5060 고스트

등장은 늦었지만 무서운 잠재력, AMD 라데온 RX 9060 XT 16GB

보다 합리적 미니ITX 보드가 필요하다면?,MAXSUN 미니 ITX 메인보드 3종

보드나라 최신 기사

[07/25] 앱코, 커스텀 키보드 본격 진출.. 스테디셀러 스위치 3종 첫 공개

[07/25] ‘광주런닝맨’ 역사 왜곡 게임 전 세계 이용자 이용불가.. 스팀 유통 중단

[07/25] 코나미디지털엔터테인먼트 신작 ‘메탈 기어 솔리드 Δ: 스네이크 이터’, 신규 정보 공개!

[07/25] 어드밴텍, 엣지 기술 혁신 공유의 장 ‘2025 어드밴텍 임베디드 디자인-인 포럼(ADF)’ 개최

[07/25] 레이저(Razer), 초슬림 프리미엄 게이밍 노트북 ‘BLADE 16’ 국내 출시

[07/25] 배틀그라운드 모바일 라이벌스 컵 2025 시즌 1: 한국 vs 일본 개최

[07/25] 후지필름, 클래식 디자인 미러리스 카메라 FUJIFILM X-E5 발표

[07/25] 넥슨, ‘메이플스토리M’ 성장 혜택 대폭 강화 ‘샤인 헤이스트’ 이벤트 실시!

[07/25] 퍼플랩, 알리익스프레스 '쿨하게 JUNE비해' 프로모션 참여, RTX 50/RX 9000라인업 특가 공개

[07/25] 발로란트 마스터스 토론토 ‘승승장구’ 젠지, 2전 전승으로 플레이오프 진출

[07/25] MSI, 전 라인업 제품 체험! ‘MSI 익스피리언스 데이’ 참가자 모집

[07/25] 작업과 구성도 쾌적하게 오래쓰자,현실적인 하이엔드 PC 사양은?

[07/25] 마이크론 HBM3E, AMD Instinct MI350시리즈에 탑재

[07/25] 서린씨앤아이, 리안리 갈라하드 2 라이트 시리즈 신제품 출시

[07/25] 다크플래쉬, DW500 우드 MESH RGB 케이스 출시

[07/25] 넥슨, 더 파이널스 시즌7 대립(THE DIVIDE) 대규모 업데이트 실시

[07/25] 넷마블 세븐나이츠 리버스, 신규 영웅 (구)사황 연희 업데이트

[07/25] STCOM, 스텔라 블레이드 PC판 콜라보 데스크탑 예약 판매

[07/25] 제이씨현시스템, 스텔라 블레이드 한정판 게이밍 PC 출시

[07/25] 2025 쿠팡플레이 시리즈, 전 일정/예매 정보 공개

로그인 | 이 페이지의 PC버전