Win32/Palyh.worm
다른 이름
W32.HLLW.Mankx@mm, W32/Palyh@MM , Sobig, 소빅, 쏘빅, Sobig.B
감염시 위험도
4등급(대비)
확산 위험도
1등급
현재 확산도
1등급
종류
웜
감염 형태
실행파일
감염 OS
윈도우
감염 경로
파일실행
최초발견일
2003-05-18
국내발견일
2003-05-19
특정활동일
2003년 5월 31일 이후로 웜이 첨부된 메일 발송은 중지한다.
제작국
불분명
해당 악성코드가 현재 확산되어 있는 정도를 등급으로 표현한 것입니다. 해당 악성코드의 확산정도는 안철수연구소로 접수되는 피해신고를 기준으로 정해지며, 그 기준은 다음과 같습니다.
현재확산도
산정기준
1등급(급속)
12시간 동안 10건 이상 접수
2등급(확산)
평일 2건 이상 접수, 1주일동안 10건 이상 접수
3등급(발견)
1주일 동안 10건 미만 접수
4등급(대비)
안철수연구소로 보고된 바 없으나, 세계적으로 감염피해 보고가 있는 경우
5등급(미발견)
안철수연구소로 보고된 바도 없고, 세계적으로 감염피해 보고가 없는 경우
▲ 확산도는 1주일마다 산정되는 것을 원칙으로 합니다. 그러나, 경우에 따라서는 수시로 변경될 수 있습니다.
안철수연구소에서 제공하는 확산도 그래프는 해당 악성코드의 발견시점부터 현재까지의 확산등급의 변화추이를 나타냅니다. 2002년 7월 29일에 처음 발견된 A라는 악성코드의 당시 확산도가 5등급이고, 확산도가 급속히 증가하였다가 서서히 확산이 둔화되었다면, 악성코드 A의 확산도 그래프는 아래와 같이 표현됩니다.
증상
- 메일 및 네트워크로 전파된다.
내용
Win32/Palyh.worm 은 2003년 5월 18일 외국에서 발견, 보고 되었으며 국내에는 2003년 5월 19일 안철수연구소는 다수의 샘플을 접수 받았다.
웜은 메일 및 네트워크로 전파된다. 메일로 전파시 메일 제목과, 첨부파일명은 다양하다. 실행되면 윈도우 폴더에 자신을 복사하고 다음번 부팅시에도 실행되도록 레지스트리를 수정한다. 네트워크로 전파시 모든 공유자원을 검색하며 2003년 5월 31일 이후 웜은 자신을 첨부한 메일을 더 이상 발송하지 않는다.
- 전파되는 메일형식
보낸이 : support@microsoft.com
제 목 : 다음중에서 선택되어진다.
- Approved (Ref: 38446-263) - Cool screensaver - Re: Approved (Ref: 3394-65467) - Re: Movie - Re: My application - Re: My details - Screensaver - Your details - Your password
첨부파일인 웜은 비주얼 C++ 로 작성 되었으며 실행압축 프로그램으로 실행압축된 상태이다. 첨부파일의 크기는 약 50KB 정도인데 파일 끝에 특정한 텍스트를 삽입하여 크기가 일정하지 않다. 압축을 해제한 경우 약 104KB ∼ 110KB 정도이다. 또한 웜 내부에 하드코딩된 일련의 텍스트들은 암호화 되어있다.
- 실행후 증상
웜이 실행되면 윈도우 폴더에 (일반적으로 c:\windows, c:\winnt) 자신을 다음의 파일명으로 복사하고
- c:\윈도우 폴더\msccn32.exe (메일에 첨부되어 사용자가 실행한 웜 크기와 동일, 크기는 일정하지 않음 약 50KB 정도)
- c:\윈도우 폴더\hnks.ini (웜을 발송한 메일주소를 저장, 크기는 일정하지 않음)
다음의 레지스트리 값을 수정하여 부팅시마다 실행되도록 한다.
1.
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run System Tray = C:\윈도우 폴더\msccn32.exe
2.
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run System Tray = C:\윈도우 폴더\msccn32.exe
- 메일 전파방법 및 대상
웜은 자체 SMTP를 이용하여 메일을 발송하여 그 대상은 모든 폴더와 드라이브의 다음의 파일에서 메일주소를 가져온다.
- .wab - .dbx - .htm - .html - .txt - .eml
위와 같은 파일들에서 메일주소를 수집하여 발송하기 때문에 매우 광범위하게 전파 될 수 있다.
- 네트워크 전파 방법 및 대상
웜은 모든 공유자원을 검색하여 읽기/쓰기 가능한 폴더 및 드라이브에 자신을 복사하거나 다음의 경로에도 자신을 복사한다.
- Windows\All Users\Start Menu\Programs\StartUp\ - Documents and Settings\All Users\Start Menu\Programs\Startup\
- 그외증상
웜은 특정한 사이트에 접속하여 파일을 내려받아 실행할 수 있으며 시스템 날짜를 확인하여 2003년 5월 31일 이후라면 웜이 첨부된 메일발송은 하지 않는다.
이 정보는 2003년 5월 19일 09시 28분에 최초작성 되었으며 2003년 5월 19일 13시에 최종 수정 되었다.
치료방법
- 2003년 5월 19일자 긴급 엔진으로 업데이트후 웜은 진단 / 치료(삭제)가 가능하다.
1. V3를 실행후 최신엔진으로 업데이트 한다.
2. 검사할 드라이브를 지정하고 검사를 시작한다.
3. 프로세스에서 실행중인 'Win32/Palyh.worm'이 진단되면 안내되는 메시지의 '강제종료후 치료' 클릭한다. 종료된 웜은 자동 삭제된다. (V3Pro 2002 Deluxe 만 해당)
4. 프로세스 검사와 지정 드라이브 검사가 끝나면 치료창이 보여진다. 여기서 '전체목록치료' 버튼을 눌러 진단된 웜은 치료(삭제)한다.
5. V3 사용자 경우 변경된 레지스트리값은 자동수정된다. (V3Pro 2000 / 2002 Deluxe 이상 사용자)
Win32/Palyh.worm 정보
해당 악성코드의 확산정도는 안철수연구소로 접수되는 피해신고를 기준으로 정해지며,
그 기준은 다음과 같습니다.
수 있습니다.
2002년 7월 29일에 처음 발견된 A라는 악성코드의 당시 확산도가 5등급이고, 확산도가 급속히 증가하였다가 서서히 확산이 둔화되었다면, 악성코드 A의 확산도 그래프는 아래와 같이 표현됩니다.
Win32/Palyh.worm 은 2003년 5월 18일 외국에서 발견, 보고 되었으며 국내에는 2003년 5월 19일 안철수연구소는 다수의 샘플을 접수 받았다.
웜은 메일 및 네트워크로 전파된다. 메일로 전파시 메일 제목과, 첨부파일명은 다양하다. 실행되면 윈도우 폴더에 자신을 복사하고 다음번 부팅시에도 실행되도록 레지스트리를 수정한다. 네트워크로 전파시 모든 공유자원을 검색하며 2003년 5월 31일 이후 웜은 자신을 첨부한 메일을 더 이상 발송하지 않는다.
- 전파되는 메일형식
보낸이 : support@microsoft.com
제 목 : 다음중에서 선택되어진다.
- Approved (Ref: 38446-263)
- Cool screensaver
- Re: Approved (Ref: 3394-65467)
- Re: Movie
- Re: My application
- Re: My details
- Screensaver
- Your details
- Your password
본 문 :
All information is in the attached file.
첨부파일명: 다음중에서 선택되어진다.
- application.pif
- approved.pif
- doc_details.pif
- movie28.pif
- password.pif
- ref-394755.pif
- screen_doc.pif
- screen_temp.pif
- your_details.pif
첨부파일인 웜은 비주얼 C++ 로 작성 되었으며 실행압축 프로그램으로 실행압축된 상태이다. 첨부파일의 크기는 약 50KB 정도인데 파일 끝에 특정한 텍스트를 삽입하여 크기가 일정하지 않다. 압축을 해제한 경우 약 104KB ∼ 110KB 정도이다. 또한 웜 내부에 하드코딩된 일련의 텍스트들은 암호화 되어있다.
- 실행후 증상
웜이 실행되면 윈도우 폴더에 (일반적으로 c:\windows, c:\winnt) 자신을 다음의 파일명으로 복사하고
- c:\윈도우 폴더\msccn32.exe (메일에 첨부되어 사용자가 실행한 웜 크기와 동일, 크기는 일정하지 않음 약 50KB 정도)
- c:\윈도우 폴더\hnks.ini (웜을 발송한 메일주소를 저장, 크기는 일정하지 않음)
다음의 레지스트리 값을 수정하여 부팅시마다 실행되도록 한다.
1.
HKEY_CURRENT_USER\
Software\
Microsoft\
Windows\
CurrentVersion\
Run System Tray = C:\윈도우 폴더\msccn32.exe
2.
치료방법 - 2003년 5월 19일자 긴급 엔진으로 업데이트후 웜은 진단 / 치료(삭제)가 가능하다.HKEY_LOCAL_MACHINE\
SOFTWARE\
Microsoft\
Windows\
CurrentVersion\
Run System Tray = C:\윈도우 폴더\msccn32.exe
- 메일 전파방법 및 대상
웜은 자체 SMTP를 이용하여 메일을 발송하여 그 대상은 모든 폴더와 드라이브의 다음의 파일에서 메일주소를 가져온다.
- .wab
- .dbx
- .htm
- .html
- .txt
- .eml
위와 같은 파일들에서 메일주소를 수집하여 발송하기 때문에 매우 광범위하게 전파 될 수 있다.
- 네트워크 전파 방법 및 대상
웜은 모든 공유자원을 검색하여 읽기/쓰기 가능한 폴더 및 드라이브에 자신을 복사하거나 다음의 경로에도 자신을 복사한다.
- Windows\All Users\Start Menu\Programs\StartUp\
- Documents and Settings\All Users\Start Menu\Programs\Startup\
- 그외증상
웜은 특정한 사이트에 접속하여 파일을 내려받아 실행할 수 있으며 시스템 날짜를 확인하여 2003년 5월 31일 이후라면 웜이 첨부된 메일발송은 하지 않는다.
이 정보는 2003년 5월 19일 09시 28분에 최초작성 되었으며 2003년 5월 19일 13시에 최종 수정 되었다.
1. V3를 실행후 최신엔진으로 업데이트 한다.
2. 검사할 드라이브를 지정하고 검사를 시작한다.
3. 프로세스에서 실행중인 'Win32/Palyh.worm'이 진단되면 안내되는 메시지의 '강제종료후 치료' 클릭한다. 종료된 웜은 자동 삭제된다. (V3Pro 2002 Deluxe 만 해당)
4. 프로세스 검사와 지정 드라이브 검사가 끝나면 치료창이 보여진다. 여기서 '전체목록치료' 버튼을 눌러 진단된 웜은 치료(삭제)한다.
5. V3 사용자 경우 변경된 레지스트리값은 자동수정된다. (V3Pro 2000 / 2002 Deluxe 이상 사용자)