예방방법 : mail@btamail.net.cn 으로 오는 메일을 수신 거부를 하시거나, 삭제가 될 수 있도록 필터링을 적용하시면 됩니다.
해당 메일로 온 첨부파일을 이미 실행하셨다면은 최신 버전의 백신 프로그램으로 치료를 하시면 됩니다.

[주의] W32/Gop.worm

[바이러스 주의예보CERTCC-KR-VN-2002-001]


☆ 개요
12월 26일 국내에 유입된 W32/Gop.worm 이 현재 확산될 위험이 있어 주의를 요한다. 시스템 내에서 찾은 파일 앞부분에 웜을 덧붙여 Sircam 과 같이 이중 확장자를 붙여 메일을 통해 전파되어 정보가 유출될 수 있으며 제목은 임의로 결정되고 본문은 중국어로 되어 있다.


☆ 전파원리 및 피해증상
⼔ 감염원리

마이크로 소프트 아웃룩 주소록과 캐쉬 디렉토리에 있는 웹 페이지에서 메일 주소를 찾아 다음과 같은 형태로 메일을 보낸다.

제 목 : 임의로 결정된다.
본 문 : 다음과 같은 중국어로 되어 있다.
콱췄?乖寧롸우걼，寧롸ꭔ댕돨우걼，?唐훨부?鮫뫘令돤乖?견ꇳ쿡......乖鹿뚹掘휼헙먁?콱，袃駷湛?鹿뚹掘휼헙ꃃ콱。
첨 부 : 파일이름.[BMP,RTF,DOC,TXT,GIF,JPEG,JPG].[EXE,LNK]

시스템에서 bmp, rtf, doc, txt, gif, jpeg, jpg와 같은 파일을 찾아 exe나 lnk확장자를 덧붙인다.
예) aaa.txt.exe

⼔ 피해증상

메일의 첨부파일을 실행하면 원래의 정상 파일도 실행되어 정상 파일인 것처럼 보일 수 있으며 정보가 유출될 수 있다.

시스템 폴더에 다음과 같은 파일을 생성한다.

IMEKernel32.sys
Kernelsys32.exe

(사용자가 입력하는 정보를 저장하는 61,440바이트 크기의 IMEKernel32.sys 파일과 웜 파일인 60,303바이트의 Kernelsys32.exe파일)

윈도우 시작시 자동실행하기 위해 다음과 같은 레지스트리 키를 생성한다.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun"에
이름 : IMEKernel32
데이터 : Kernelsys32.exe


☆ 대응방법
메일 수신시 출처 및 용도가 불분명한 메일은 바로 삭제한다. 이미 실행한 경우 윈도우 시스템 폴더에 생성된 IMEKernel32.sys, Kernelsys32.exe파일을 삭제하고 웜에 의해 생성된 레지스트리 키를 삭제한다. 최신 백신을 이용하여 다시 검사하고 치료한다.


☆ 참고 사이트
⼒ 안철수 사이트
- //home.ahnlab.com/smart2u/virus_detail_905.html

⼒ 하우리 사이트
- //www.hauri.co.kr/virus/vir_info_detail.html?uid=269


※ 위 내용은 실제 샘플 실행 경우와 다소 차이가 있을 수 있음