이메일의 내용은 "Click here to view your laughing ecard online http://123.456.789.***/" 라는 식의 링크가 포함되어 있습니다.
'ecard.exe', 'postcard.exe'라는 파일이 자동으로 다운로드 되는데 이것은 진단명 Email-Worm.Win32.Zhelatin.vg의 웜으로 해당 웜이 실행되면 감염된 시스템에서 메일 주소를 수집하여 자신이 포함된 메일을 발송한다. 해당 웜이 실행되면 윈도우 시스템 폴더에 diperto.ini (40,012 바이트), diperto6868-6114.sys (129,920 바이트)를 생성하고 자신을 레지스트리에 등록하여 윈도우 시작 시 자동으로 실행되게 합니다.
출처가 불분명하거나 의심되는 이메일은 되도록이면 열어보지 말고 또 링크를 함부로 클릭하지 말아야합니다. 그리고 안티바이러스 제품이 설치되어 있더라도 진단이 되지 않는 제품도 있으니 주의하시기 바랍니다.
* 실행 후 증상
[파일 생성]
윈도우 시스템 폴더에 다음 파일을 생성합니다.
- diperto.ini (40,012 바이트)
- diperto6868-6114.sys (129,920 바이트)
주) 윈도우 시스템 폴더는 사용 윈도우에 따라 다르며 보통 윈도우 95/98/ME는 C:\Windows\System, 윈도우 NT/2000은 C:\WinNT\System32, 윈도우 XP는 C:\Windows\System32 폴더입니다.
[서비스 등록]
레지스트리에 다음 값을 추가해 윈도우 시작 시 서비스로 자동 실행되게 합니다.
HKEY_LOCAL_MACHINE\
SYSTEM\
CurrentControlSet\
Services\
diperto6868-6114
ImagePath = \??\c:\windows\system32\diperto6868-6114.sys
[해당파일 토탈검사 결과]
http://www.virustotal.com/analisis/7e96d0dc19d5e8fd7532218a906d8c25
http://www.virustotal.com/analisis/8346f7d7b5f7263fb77aa203a32c0d1e
 |
|
