전농동성당 게시판

안철수 바이러스에서 퍼온글입니다.

이 바이러스가 걸리면 ping은 이상 없이 응답이 와도

네트워크를 이용한 프로그램(C/S program)은 사용할 수 없습니다.

 

 

* 자체 SMTP 기능이 있어 별도의 메일 응용 프로그램이 없어도 인터넷 연결만 되어

있다면 메일을 발송한다.

* 감염된 사용자의 하드 디스크에 있는 파일이 첨부되어 발송되므로 사용자의 정보

가 유출될 수 있다.

* 메일뿐만 아니라 공유된 네트워크를 통해서도 전파된다.

* 랜덤하게 C 드라이브내 파일과 폴더를 삭제한다. 이때 현재 실행중인 파일처럼 삭

제 불가능한 파일을 제외하고는 C드라이브의 모든 파일이 삭제된다. 파일이 삭제될

경우 부팅조차 되지 않기 때문에 디스켓으로 부팅한 후 윈도우를 다시 설치해야 한

다.  

 

내용 Win32/Sircam.worm 은 W32/SirCam@MM(McAfee), I-Worm.Sircam

(Kasperskylabs),W32.Sircam.Worm@mm(Symantec), TROJ_SIRCAM.A(Trend

Micro)로 불리는 웜으로 국내에는 2001년 7월 처음 발견되었다.

 

이 웜은 웜과 정상 파일이 같이 붙어있는데 웜 실행시 웜이 일단 실행된후 뒤에 붙은

정상 프로그램을 같이 실행시킨다. 웜이 실행되면 C:\RECYCLED폴더에 숨김속성으

로 SIRC32.EXE 파일과 웜뒤에 붙어 있는 정상 파일이 생성되며 TEMP폴더(일반적으

로, C:\WINDOWS\TEMP)에도 웜의 뒤에 붙어 있는 정상 파일을 생성시킨다.

TEMP폴더에 생성된 파일이 실제적으로 사용되는 파일로 수정등의 작업을 했을때 이곳

의 파일이 수정된다. 또한 윈도우 시스템 폴더(일반적으로 c:\WINDOWS\SYSTEM)에

SCam32.EXE파일이 생성되며 이 파일이 윈도우 부팅시 실행되는 실제파일이다.

 

 

웜이 실행되면 레지스트리에 다음의 값이 추가 된다.

HKEY_CLASSES_ROOT\exefile\shell\open\command 항목에

기본값 = "C:\recycled\SirC32.exe" "%1" %*

위의 값이 추가되면 윈도우에서 실행되는 모든 EXE 파일 실행시 웜이 먼저 실행되기

때문에 윈도우가 느려질 수 있다.

 

 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

\RunServices 항목에 Driver32 = "C:\WINDOWS\SYSTEM\SCam32.exe"

 

 

HKEY_LOCAL_MACHINE\Software 메뉴에 SirCam 메뉴가 추가된다. 웜은 E-MAIL

로 전파가 되며 다음과 같은 형식으로 전파된다.

 

제목 : 첨부되는 파일 이름과 동일

 

영어 메일

첫줄 내용: Hi! How are you?

가운데 들어가는 내용은 다음의 4개의 문장중 랜덤하게 하나가 선택되어 포함된다.

I send you this file in order to have your advice

I hope you can help me with this file that I send

I hope you like the file that I sendo you

This is the file with the information that you ask for

마지막 내용 : See you later. Thanks

 

스페인어 메일

첫줄 내용 : Hola como estas ?

가운데 들어가는 내용은 다음의 4개의 문장중 랜덤하게 하나가 선택되어 포함된다.

Te mando este archivo para que me des tu punto de vista

Espero me puedas ayudar con el archivo que te mando

Espero te guste este archivo que te mando

Este es el archivo con la informaci? que me pediste

마지막 내용 : Nos vemos pronto, gracias.

 

 

윈도우 시스템 폴더(일반적으로 C:\WINDOWS\SYSTEM)에 SCD.DLL, SCI1.DLL,

SCW1.DLL의 파일 등이 생성되는데 SCI1.DLL 파일은 인터넷 익스 플로러의 캐쉬 디

렉토리에서 추출한 메일 주소이며 SCW1.DLL 파일은 윈도우 주소록에 존재하는 사용

자의 메일 주소를 저장해놓은 파일이다.

 

E-MAIL로 웜 전파시 이 파일을 참고해서 사용자들에게 전파되며 확장자가 ZIP,

DOC, XLS, EXE 인 파일의 목록을 저장해 놓아 메일로 보낼시 SCD.DLL 파일을 참조

해서 목록에 있는 파일중 하나를 첨부하게 되며 메일로 전송시에는 확장자가 PIF,

LNK, BAT, COM으로 보내지게 된다. 즉, test.xls 의 경우 test.xls.lnk와 같

이 이중 확장자를 가지게 되는데 윈도우 상에서는 test.xls 으로만 보이게 되며 이

경우 감염된 사용자의 시스템에 있는 문서들이 발송되므로 정보유출의 문제 소지가 있

다.

 

 

또한 공유되어 있는 네트워크를 통해 퍼지게되는데 다른 사용자의 컴퓨터가 전체 읽

기/쓰기 공유되어 있는 경우 그 사용자의 휴지통(일반적으로 C:\Recycled)폴더에

Sirc32.exe 파일을 숨김속성으로 만들어 놓으며 Autoexec.bat에 다음과 같은 문장

이 들어 가게된다.

@win \recycled\SirC32.exe

 

 

이 경우 부팅할때 화면에는 아무것도 표시되지 않으나 재부팅을 하면 \recycled 폴

더에 있는 Sir32.exe 파일이 실행된다. 그리고 윈도우 폴더(일반적으로

C:\WINDOWS)에 정상적인 rundll32.exe 파일을 run32.exe 파일로 이름을 변경한

후 숨김속성을 걸어 놓으며 웜 파일이 rundll32.exe 파일로 되기 때문에 이 파일

이 삭제되지 않으면 부팅시마다 웜이 계속 실행된다.

 

 

E-MAIL로 전파시 자체적으로 SMTP서버를 사용하기 때문에 인터넷만 연결가능하다면

쉽게 전파된다.  

 

치료방법 * V3 제품군 사용자

 

1. C 드라이브 전체를 (쓰기)공유해둔 사용자는 반드시 공유를 먼저 해제한다.

 

2. V3를 7월 25일자 최신엔진으로 업데이트한 후 검사하면 이때 실행중인 웜을 V3에

서는 다음과 같은 메시지를 출력하고 강제종료를 하게된다. 사용자는 이 창이 출력될

때 마다 ’예’를 눌러 웜을 강제종료한다.

 

 

 

 

 

3. 웜을 모두 강제종료를 하면 치료창에 진단된 웜 목록이 출력되므로 ’전체치료목

록’을 눌러 웜을 삭제한다.

 

* 4, 5번 조치사항은 네트워크 환경에서 (쓰기)공유를 해두고 아래의 내용에 해당

되는 시스템에만 조치하며 (쓰기)공유를 하지 않거나 내용이 존재하지 않는 시스템

은 조치할 필요가 없다.

 

4. autoexec.bat 를 적당한 편집기로 오픈하여 @win \recycled\sirc32.exe

라인이 추가 되어 있다면 모두 삭제후 저장한다.

 

5. 윈도우 폴더에 숨김속성을 가진 run32.exe 파일이 존재한다면 rundll32.exe

로 이름을 변경 해준다.

 

* 탐색기 -> 보기 -> 폴더옵션 -> 보기메뉴 -> 숨김파일 -> 모든 파일 표시를 선택

후 변경한다.

 

* V3Pro 2000 Deluxe 이상과 7월 25일자 엔진을 이용하면 웜 삭제와 레지스트리

수정이 한 번에 되므로 ’전용백신’을 따로 실행할 필요가 없다.

 

 

* V3 제품군 미사용자및 전용백신 사용방법

 

1. C 드라이브 전체를 (쓰기) 공유를 해둔 시스템인 경우 반드시 공유를 해제후 다

음사항을 진행한다.

 

2. 첨부된 전용백신을 임의의 폴더에 다운로드 한 후 실행한다.

 

2-1. 웜이 존재하지 않다면 다음의 메시지를 출력한다.

 

2-2. 웜이 존재한다면 다음의 메세지를 출력하며 ’확인’을 누르면 웜을 삭제한후 레

지스트리도 수정해준다.

 

2-3. 이후 재부팅 메시지를 출력한다. ’예’를 누른다.

 

2-4. 윈도우로 부팅이 완료되면 최신엔진의 V3Pro 2000 Deluxe(평가판)이나 V3+

Neo를 실행하여 진단된 웜을 모두 삭제한다.

 

 

 

참고사항 * V3 제품군 사용자는 전용백신을 굳이 실행할 필요없이 사용하고 있는

V3 제품군을 최신엔진으로 업데이트후 치료하면 된다.

 

* 전용백신은 윈도우 NT 에서는 실행되지 않는다. 단, 윈도우 2000 에서는 실행가

능하다. 따라서 윈도우 NT 사용자는 V3Net for Windows Server 로 치료해야 한

다.

 

* 전용백신은 autoexec.bat 내용을 수정해주고 rundll32.exe 파일이 웜인 경우

삭제후 run32.exe 파일을 rundll32.exe로 교체해주므로 편리하지만 실행후 재부팅

하여 다시 V3로 검사 하여 진단된 Win32/Sircam.worm을 삭제해야 한다.