목록ㅣ 인쇄

W32/Mimail.13856@mm 바이러스 종류 Worm 실행환경 Windows 발견일 2003년11월18일 제작지 불분명 위험등급 확산방법 바이러스 크기 13,856 Byte 첨부파일 www.paypal.com.pif 또는 InfoUpdate.exe 메일제목 IMPORTANT 또는 Problems with your PayPal account. 증상요약 치료방법 터보백신Ai, 터보백신 Online, 터보백신 2001 제품군으로 치료가능. 터보백신 Ai를 사용하시고 아웃룩을 사용하신 다면 반드시 이메일 감시기를 실행하시기 바랍니다.    이 웜은 이메일을 통하여 전파되며, 미국의 결재 대행 서비스 회사인 paypal로 위장하고 있다. W32/Mimail.12832.B@mm의 변종으로 웜을 포함한 이메일은 아래와 같은 본문 내용을 가지고 있다. 보낸사람 PayPal.com[Do_Not_Reply@paypal.com] Dear PayPal member, We regret to inform you that your account is about to be expired in next five business days. To avoid suspension of your account you have to reactivate it by providing us with your personal information. To update your personal profile and continue using PayPal services you have to run the attached application to this email. Just run it and follow the instructions. IMPORTANT! If you ignore this alert, your account will be suspended in next five business days and you will not be able to use PayPal anymore. Thank you for using PayPal. 임의의 문자열 해당 파일이 실행 되면 윈도우 폴더(win9x, XP: c:\windows, win2000: c:\winnt)에 svchost32.exe 와 ee98af.tmp, el388.tmp(웜이 추출한 메일주소 저장)를 생성한다. 또한 C: 에 다음의 파일을 생성한다. pp.gif  (PayPal 그림파일)->수동으로 삭제 pp.hta (PayPal 카드번호 입력창)->수동으로 삭제 index2.hta (개인정보입력창)->수동으로 삭제 위의 정보는 c:의 ppinfo.sys 파일에 저장되어 외부로 유출 된다. 그런 다음 다음처럼 레지스트를 수정하여 다음 부팅시 실행되도록 조작한다. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 항목에 (win9x, Xp의 경우) SvcHost32  = c:\windows\svchost32.exe (win2000, NT의 경우) SvcHost32  = c:\winnt\svchost32.exe 무단전재ㆍ배포금지 - 에브리존에서 제공하는 모든 컨텐츠 정보에 대한 저작권은 에브리존의 소유이며 관련법의 보호를 받습니다. - 에브리존의 사전 허가 없이 에브리존 컨텐츠를 무단으로 전재, 배포를 금지되어 있습니다. - 이를 위반하는 경우 손해배상의 대상 또는 민.형사상의 법적 소송 대상이 될 수 있습니다. * 에브리존 정보 이용 문의 : greenking@everyzone.com