Hi! How are you 이멜바이러스...

2001-07-25 00:00
장홍식 대표기자

potatotree@bodnara.co.kr

이름 : Win32/Sircam.worm
종류 : 웜
위험도 : 2등급
제작지 : 불분명
국내발견일 : 2001년 7월 19일
진단, 치료 : V3 19일자 엔진에서 가능
특정일 활동 : 미확인

내용 :

Win32/Sircam.worm 은 W32/ SirCam@MM ( McAfee ), I-Worm.Sircam( Kasperskylabs ) W32.Sircam.Worm@mm ( Symantec ), TROJ_SIRCAM.A( Trend Micro )로 불리는 웜으로 국내에는 2001년 7월 처음 발견되었다.

다음과 같은 형식으로 메일링된다.
--------------------------------------------------------------------------
제목 : 첨부되는 파일 이름과 동일

첫줄 내용: Hi! How are you?

가운데 들어 가는 내용 : I send you this file in order to have your advice
4개의 문장중 랜덤하게 I hope you can help me with this file that I send
하나 선택되어 들어감 I hope you like the file that I sendo you
This is the file with the information that you ask for

마지막 내용 : See you later. Thanks

첫줄 내용 : Hola como estas ?

가운데 들어 가는 내용 : Te mando este archivo para que me des tu punto de vista
4개의 문장중 랜덤하게 Espero me puedas ayudar con el archivo que te mando
하나 선택되어 들어감 Espero te guste este archivo que te mando
Este es el archivo con la informaci? que me pediste

마지막 내용 : Nos vemos pronto, gracias.
--------------------------------------------------------------------------

* 확산 특징
E-MAIL 발송 시 자체적으로 SMTP 서버를 사용하기 때문에, 인터넷만 연결 가능한 상태라면 쉽게 퍼진다.
아웃룩 주소록 파일과 익스플로러 캐쉬 디렉토리의 HTML 파일(각 웹 사이트에 공개된 주소가 저장된 파일)을 복사해 주소록 파일을 만들어, 이 주소록으로 메일을 발송한다.

* 기타 사항
웜과 정상 파일이 같이 붙어 있는데, 웜 실행 시, 웜이 일단 실행된 후 뒤에 붙은 정상 프로그램이 같이 실행된다.

웜이 실행되면 C:RECYCLED 폴더에 숨김 속성으로 SIRC32.EXE 파일과 웜 뒤에 붙어 있는 정상 파일이 생성되며, TEMP 폴더( 일반적으로, C:WINDOWSTEMP )에도 웜의 뒤에 붙어 있는 정상 파일을 생성시킨다.

TEMP 폴더에 생성된 파일이 실제적으로 사용되는 파일로, 수정 등의 작업을 했을 때 이곳의 파일이 수정된다.

또한, 윈도우 시스템 폴더( 일반적으로 C:WINDOWSSYSTEM )에 SCam32.EXE 파일이 생성되는데,
이 파일이 윈도우 부팅시 실행되는 실제 파일이다.

웜이 실행되면 레지스트리에 다음의 값이 추가된다.

HKEY_CLASSES_ROOTexefileshellopencommand 항목에
기본값 = "C: ecycledSirC32.exe" "%1" %*

위의 값이 추가되면 윈도우에서 실행되는 모든 EXE 파일 실행 시 웜이 먼저 실행되기 때문에 윈도우가 느려질 수 있다.

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices 항목에
Driver32 = "C:WINDOWSSYSTEMSCam32.exe가,
HKEY_LOCAL_MACHINESoftware 메뉴에 SirCam 메뉴가 추가된다.

다음은 안철수 연구소를 통해 접수된 피해 상황이다.

1. 전화 접수
19일(목요일) : 6건
20일(금요일) : 73건
21일(토요일) : 41건
23일(월요일) : 184건
24일(화요일) : 137건

2. 온라인 접수
19일 ~ 24일 11시 현재 : 97건

기업상담 : 89건
일반상담 : 352건

1. 메일 클라이언트가 필요 없이(아웃룩 필요 없음) 자체 SMTP 기능을 이용하여 인터넷만 연결되어 있다면 메일을 발송한다.

2. 메일에 첨부된 파일이, 러브레터처럼 특징이 있는 파일이 아니라 감염된 시스템에 존재하는 워드, 엑셀, ZIP, EXE 파일 등이어서 메일을 받은 사람들로 하여금 주의하지 않고 그 파일을 열어보게 유도했다.
정보 유출의 문제도 있다.

닉네임

비회원

보드나라 많이 본 뉴스

인텔 2025년 1분기 실적 발표, 매출 현상 유지했으나 순손실 증가

레이저(Razer), 인체공학적 프로 클릭 V2 마우스 2종 출시

SKT, 고객 유심 정보 유출로 인한 전고객 유심 무료 교체 발표.. 알뜰폰 가입자도 포함

보드나라 많이 본 기사

닌텐도 스위치2, 한국 출시일 및 가격 발표

작고 빠른 고속 충전기의 합리적 변신,ipTIME UP451/UP452 화이트

기계속에 스며든 자연의 모습, 잘만 P10 NAMU 케이스

보드나라 최신 기사

[07/25] 씨큐비스타, 통신사·콜센터 대규모 해킹사고 원인 '스텔스형 위협' 대응전략 발표

[07/25] 캐논, RF 마운트용 저렴한 망원 줌렌즈 RF75-300mm F4-5.6 출시

[07/25] 대만산은 싸구려 취급하던 한국산 그래픽카드 전성시대,우리나라 그래픽카드시장 변화 이야기 [PC흥망사 12-1]

[07/25] 삼성 갤럭시 S25 엣지, 5월 13일 발표?

[07/25] WD 2025 회계년도 3분기 실적 발표, 클라우드 매출 늘고 클라이언트·컨슈머 부문은 감소

[07/25] 구글, Gemini 앱에서 AI 이미지 편집 기능 추가

[07/25] LG디스플레이, 청색 인광 적용한 OLED 패널 제품화 검증 세계 최초 성공

[07/25] 삼성전자, 삼성 OLED로 바꿔보상 프로모션 진행

[07/25] 엔비디아, RTX 50 시리즈 안정성 개선 게임 레디 드라이버 576.28 WHQL 배포

[07/25] AMD 라데온 RX 9060 XT 출시는 6월?

[07/25] DDR3와 DDR4 생산 중단 여파로 현물 가격 상승, 낸드 가격도 소폭 인상

[07/25] 엔비디아, 지포스 RTX 50 시리즈에 둠 다크 에이지 프리미엄 에디션 번들 프로모션 진행

[07/25] ipTIME, BE5100급 와이파이7 공유기 ‘ipTIME BE5100M’출시

[07/25] SPM 포함 12개 키보드 브랜드 입점.. 커스텀 제작 상담도 가능

[07/25] 한국자동차환경협회, 인도네시아 정부와 전기이륜차 개조사업 협력 강화

[07/25] 커넥트웨이브, '카카오게임즈 배틀그라운드 다나와배 대학최강자전' 공식 후원

[07/25] 게임물관리위원회 - 게임과학연구원 업무협약 체결

[07/25] LK삼양, 소니 풀프레임 미러리스용 초광각 줌렌즈 AF 14-24mm F2.8 FE 출시

[07/25] 잉카인터넷, SK텔레콤 공격에 사용된 ‘BPFDoor' 대응 전용 백신 무료 제공

[07/25] 제이씨현,기가바이트 GAMING 360 올인원(AIO) 수랭 쿨러 출시!

로그인 | 이 페이지의 PC버전