Hi! How are you 이멜바이러스...

2001-07-25 00:00
장홍식 대표기자

potatotree@bodnara.co.kr

이름 : Win32/Sircam.worm
종류 : 웜
위험도 : 2등급
제작지 : 불분명
국내발견일 : 2001년 7월 19일
진단, 치료 : V3 19일자 엔진에서 가능
특정일 활동 : 미확인

내용 :

Win32/Sircam.worm 은 W32/ SirCam@MM ( McAfee ), I-Worm.Sircam( Kasperskylabs ) W32.Sircam.Worm@mm ( Symantec ), TROJ_SIRCAM.A( Trend Micro )로 불리는 웜으로 국내에는 2001년 7월 처음 발견되었다.

다음과 같은 형식으로 메일링된다.
--------------------------------------------------------------------------
제목 : 첨부되는 파일 이름과 동일

첫줄 내용: Hi! How are you?

가운데 들어 가는 내용 : I send you this file in order to have your advice
4개의 문장중 랜덤하게 I hope you can help me with this file that I send
하나 선택되어 들어감 I hope you like the file that I sendo you
This is the file with the information that you ask for

마지막 내용 : See you later. Thanks

첫줄 내용 : Hola como estas ?

가운데 들어 가는 내용 : Te mando este archivo para que me des tu punto de vista
4개의 문장중 랜덤하게 Espero me puedas ayudar con el archivo que te mando
하나 선택되어 들어감 Espero te guste este archivo que te mando
Este es el archivo con la informaci? que me pediste

마지막 내용 : Nos vemos pronto, gracias.
--------------------------------------------------------------------------

* 확산 특징
E-MAIL 발송 시 자체적으로 SMTP 서버를 사용하기 때문에, 인터넷만 연결 가능한 상태라면 쉽게 퍼진다.
아웃룩 주소록 파일과 익스플로러 캐쉬 디렉토리의 HTML 파일(각 웹 사이트에 공개된 주소가 저장된 파일)을 복사해 주소록 파일을 만들어, 이 주소록으로 메일을 발송한다.

* 기타 사항
웜과 정상 파일이 같이 붙어 있는데, 웜 실행 시, 웜이 일단 실행된 후 뒤에 붙은 정상 프로그램이 같이 실행된다.

웜이 실행되면 C:RECYCLED 폴더에 숨김 속성으로 SIRC32.EXE 파일과 웜 뒤에 붙어 있는 정상 파일이 생성되며, TEMP 폴더( 일반적으로, C:WINDOWSTEMP )에도 웜의 뒤에 붙어 있는 정상 파일을 생성시킨다.

TEMP 폴더에 생성된 파일이 실제적으로 사용되는 파일로, 수정 등의 작업을 했을 때 이곳의 파일이 수정된다.

또한, 윈도우 시스템 폴더( 일반적으로 C:WINDOWSSYSTEM )에 SCam32.EXE 파일이 생성되는데,
이 파일이 윈도우 부팅시 실행되는 실제 파일이다.

웜이 실행되면 레지스트리에 다음의 값이 추가된다.

HKEY_CLASSES_ROOTexefileshellopencommand 항목에
기본값 = "C: ecycledSirC32.exe" "%1" %*

위의 값이 추가되면 윈도우에서 실행되는 모든 EXE 파일 실행 시 웜이 먼저 실행되기 때문에 윈도우가 느려질 수 있다.

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices 항목에
Driver32 = "C:WINDOWSSYSTEMSCam32.exe가,
HKEY_LOCAL_MACHINESoftware 메뉴에 SirCam 메뉴가 추가된다.

다음은 안철수 연구소를 통해 접수된 피해 상황이다.

1. 전화 접수
19일(목요일) : 6건
20일(금요일) : 73건
21일(토요일) : 41건
23일(월요일) : 184건
24일(화요일) : 137건

2. 온라인 접수
19일 ~ 24일 11시 현재 : 97건

기업상담 : 89건
일반상담 : 352건

1. 메일 클라이언트가 필요 없이(아웃룩 필요 없음) 자체 SMTP 기능을 이용하여 인터넷만 연결되어 있다면 메일을 발송한다.

2. 메일에 첨부된 파일이, 러브레터처럼 특징이 있는 파일이 아니라 감염된 시스템에 존재하는 워드, 엑셀, ZIP, EXE 파일 등이어서 메일을 받은 사람들로 하여금 주의하지 않고 그 파일을 열어보게 유도했다.
정보 유출의 문제도 있다.

닉네임

비회원

보드나라 많이 본 뉴스

삼성전자, 개인 소비자용 SSD 시장 철수설 부인

SK하이닉스, 2028년에도 소비자 DRAM 공급 부족 전망

하드디스크 가격 급등, 공급 부족 심화 우려

보드나라 많이 본 기사

ipTIME 공유기와 어울리는 2베이 NAS, ipTIME NAS2plus

AI 수요가 늘면 왜 DDR5 값이 오를까?, [메모리 가격 폭등 1부]

17년만에 등장한 후속작 아이온2, GAINWARD 지포스 RTX 5060 고스트 성능은?

보드나라 최신 기사

[07/25] 컴투스 ‘아이모’, ‘빛나는 돌’ 이벤트 및 코스튬 패키지 공개!

[07/25] 서린씨앤아이, 2025 다나와 하반기 히트브랜드 RAM 부문 수상

[07/25] 펀키스, 차세대 플래그쉽 마우스의 기준 ATK X1 V2 ULTIMATE 신규 출시

[07/25] PUBG 업데이트 이용자 흐름 공개.. 2026년 로드맵 예고

[07/25] 넥슨, ‘마비노기 모바일’과 ‘산리오캐릭터즈’ 컬래버 업데이트 실시

[07/25] 신규 월드 출시 예정 / ‘캐릭터명 선점’ 이벤트 진행 / ‘겨울 이벤트’ 진행 중

[07/25] 캐논코리아, 캐논 마스터즈 장민승과 함께한 몰입형 사진극장 시즌 3 ‘위로 ː 緯路’ 성료

[07/25] ‘주술회전 팬텀 퍼레이드’ 1st 애니버서리 2탄 업데이트

[07/25] 웹젠 R2, 오픈 리부트 서버 리부팅 기념 이벤트 진행

[07/25] 엔씨디지텍, 2025 삼성 갤럭시 아카데미 사전알림 프로모션 진행

[07/25] 펀키스, ATK '잠자리 마우스' 2025년 하반기 다나와 히트브랜드 수상

[07/25] 펀키스, AULA ‘독거미 키보드’ 2025년 하반기 다나와 히트브랜드 수상

[07/25] 넷마블 <뱀피르>, 2026년 ‘상반기 로드맵’ 공개

[07/25] 넥슨, ‘메이플스토리M’ 신규 캐릭터 ‘칼리’ 업데이트!

[07/25] 실버 팰리스, 제1차 클로즈 베타 「동일률 테스트」 정식 발표

[07/25] 넥슨컴퓨터박물관, 제주국제공항에서 ‘카페 메이플스토리’ 팝업스토어 운영

[07/25] 애스턴마틴, 포트나이트 로켓 리그에서 궁극의 슈퍼카 선보인다

[07/25] 에이원아이엔티, Segotep Nexus1 PRO KR 아트홀 피규어 1:1 증정 이벤트 진행

[07/25] 유니씨앤씨, 갤럭시북 'AI 아카데미' 사전 알림 이벤트

[07/25] 그라비티, ‘THE GOOD OLD DAYS’ Steam 겨울 할인 이벤트에서 20% 할인!

로그인 | 이 페이지의 PC버전