A급 : 비상, B급 : 경보, C급 : 주의 1. 발령일시: 2004. 1. 26 2. 바이러스 명칭 : Win32/Mydoom.worm.22528 3. 등급: [A급-비상] 운영체제 부팅 불가(시스템 파일 손상, 하드디스크 파괴 및 포 맷 등) 또는 다수 파일 삭제, 복구하기 어려운 손상 등의 위험 등급 4. 경보 대상자: Windows 사용자
◈ 개요
메일과 P2P 프로그램을 통해 전파되며, 현재 사내에서는 임의의 제목 및 임의의 첨부파일명으로 메일을 통해 전파되고 있습니다. 감염될 경우 시스 템내의 임의의 메일주소를 바탕으로 다량의 바이러스 메일을 발송하는 증 상을 나타내고 있습니다.
현재, 안철수 바이러스 연구소에서 패턴을 제작중에 있으나, 패턴배포가 완료되기까지는 아래와 같이 수동으로 치료하시기 바라며, 치료지원이 필 요한 임직원께서는 정보보안팀으로 연락하시기 바랍니다.
◈ 바이러스 정보
- 보 낸 이 : 감염된 시스템에서 임의로 선택 - 제 목 : Hi, Test, Hello, Status 등에서 선택 (대소문자 바뀔수 있음) - 본 문 : 메일 클라이언트에 따라 다음 내용 혹은 유사 내용으로 선택 " The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment. " - 첨부파일: 확장자가 EXE, PIF, CMD, SCR, ZIP 파일 (22,528 바이트) 예) doc.bat document.zip message.zip readme.zip text.pif hello.cmd body.scr test.htm.pif data.txt.exe file.scr
- 예방법: 출처가 불분명한 메일은 열지 말고 반드시 삭제
◈ 예방법
1) 의심스러운 메일은 첨부파일을 실행하지 말고 삭제한다. 2) V3를 최신 엔진으로 업데이트 하고, 시스템, 인터넷 실시간 감시를 설정한 다.
◈ 감염자 치료 방법
- V3를 이용한 치료방법
1) V3 엔진 버전(1월 27일자 이상)을 확인한다. 최신 엔진 다운로드 엔진 자동 업데이트 환경 설정 2) V3를 실행한 후 수동 검사를 실시한다.
- 첨부파일을 통한 치료방법
- win2k.exe(Windows 2000 용) : 파일 다운로드 후 실행한다. - winxp.exe(Windows XP용) : 파일 다운로드 후 실행하여 압축을 푼 다음, clean.bat 파일을 실행한다.
- 수동 치료 방법
1) 실행 중인 프로세스 종료 ㄱ) 작업관리자를 실행 ㄴ) 프로세스 탭으로 이동 ㄷ) taskmon.exe 프로세스를 종료한다.
2) 아래의 레지스트리 키 값 삭제 ㄱ) 시작 -> 실행 창에서 regedit 입력 후 확인을 눌러 레지스트리 편집기 실행 ㄴ) 아래 경로로 이동한 다음 키값 삭제 - HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED} \InProcServer32 "(Default)" = %SysDir%\shimgapi.dll - HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "TaskMon" = %SysDir%\taskmon.exe
3) 감염 파일 삭제 ㄱ) 아래 폴더에서 해당 파일을 삭제한다. - c:\Program Files\KaZaA\My Shared Folder\activation_crack.scr - %SysDir%\taskmon.exe - %SysDir%\shimgapi.dll (4,096 bytes)
글쓰기