보안IT뉴스 보안권고문 보안Tip 보안처방 보안통신 보안용어 보안백신메일 보안캘린더
보안위협DB 찾기
보안칼럼
에브리존 Zip에브리존 See에브리존 FTP

  보안IT뉴스
  보안권고문
  보안Tip
  보안처방
  보안통신
  보안용어
  보안백신메일
  보안캘린더
  보안위협DB찾기
  보안칼럼

   보안위협DB찾기
   
  
 목록 |  윗글 |  아랫글  
W97M/Melissa.C
 바이러스 종류
Macro Virus
 실행환경
Win9x, 2000, XP (office 가능환경)
 발견일
-
 제작지
불분명
 위험등급
 확산방법
 바이러스 크기
 첨부파일
 메일제목
  
 증상요약
  
 치료방법

터보백신 Ai 으로 치료 가능.

  
 
상세설명
이 바이러스는 W97M/Syndicate 라고도 한다. 바이러스 코드의 끝부분에 다음의 주석이 들어가기 때문이다.

''W97M/Project1 by Patient Zero -(The Syndicate)- circa 1999 ''The Syndicate: underground to the underground.
''Greets to Kwyjibo and the CodeBreakers: Hey, dont we know each other? ;-)

E-Mail 분석 결과로는 감염된 문서가 열리거나 관련 매크로를 포함하나 같다.

감염방법으로는 W97M/Melissa.A 와 비슷한 방법을 사용하며, MS Outlook 98 를 통해 확산된다.
레지스트리에 기입된 값을 다음의 위치에서 참조한다.

"HKCU\Software\Microsoft\Office\" 에서
"P1", "Syndicate" 값을 참조한다.

위 값이 발견되지 않으면 바이러스는 Outlook 메시지에 제목부분에 다음의 내용을 생성한다.

"Fun and games from " 이것을 Word97의 사용자로 등록하다.

그리고 메일의 본문에 다음의 내용을 생성한다.

"Hi! Check out this neat doc I found on the Internet!".

주소록의 명수를 69 까지 센 후, 메시지의 필드중 to! 부분에 기입한다.
첨가적으로 바이러스분석에서 나온것은, 바이러스 제작자는 개인 메일로 코드를 발송하게 한다.
주로 다음의 주소이며,
"Project1@nym.alias.net".

제목에는 "Guess whos infected: " 를 기입한다.

본문에는 간단하게 "infected!" 를 쓰고,  감염된 문서가 실행되면 메일을 발송한다.
 
예방 및 수동조치방법
무단전재ㆍ배포금지
에브리존에서 제공하는 모든 컨텐츠 정보에 대한 저작권은 에브리존의 소유이며 관련법의 보호를 받습니다.
에브리존의 사전 허가 없이 에브리존 컨텐츠를 무단으로 전재, 배포를 금지되어 있습니다.
이를 위반하는 경우 손해배상의 대상 또는 민.형사상의 법적 소송 대상이 될 수 있습니다.
* 에브리존 정보 이용 문의 : greenking@everyzone.com
 목록