시만텍코리아는 3월 11일 MSN 메신저 패스워드를 해킹한다는 W32.Nicehello@mm 바이러스(일명 나이스헬로 바이러스)의 확산이 우려된다고 발표했다. 이 나이스헬로는 윈도우즈 EXE 첨부파일로 다량의 이메일을 발송하는 웜으로 익스플로이트에 마이크로소프트의 인스턴트 메신저 프로그램을 포함하고 있다. 이 웜이 실제로 무엇을 하는지는 아직 명확히 분석되지 않은것 같다. 하지만 웜을 피하거나 삭제하는 것은 아주 쉬운듯 하다.

W32.Nicehello@mm 웜은 99,328 바이트의 이메일 첨부파일로 보내진다. 제목과 첨부파일명은 시만텍 사이트에 나와있다. 시만텍은 이 웜이 마이크로소프트 MSN와 닷넷 메신저 패스워드를 빼낸다고 말한다.

파일이 실행되면 웜은 스스로를 복제해 윈도우즈 디렉토리에 "systemsys64dvr.exe" 혹은 "system32sys64dvr.exe" 파일을 심고(C:WindowsSystemSys64svr.exe, C:WinntSystem32Sys64svr.exe) 레지스트리에 다음과 같은 엔트리를 생성한다.

"HKLMSoftwareMicrosoftWindowsCurrentVersionRunSystem 64 Driver for Games" = "sys64drv.exe"

따라서 이 파일과 엔트리가 있는지를 체크해 보면 감염되었는지의 여부를 알 수 있다. 수작업으로 삭제하면 된다.

윈도우즈 NT/2000/XP 사용자는 작업 관리자의 프로세스를 종료하면 되고, 윈도우즈 95/98/ME 사용자는 안전모드로 재부팅해서 삭제하면 된다.

이 웜은 사용자의 메신저 유저네임과 패스워드를 jcrivas77@yahoo.com로 스페인어의 이메일을 보낸다. 그런 후 감염된 메세지를 사용자의 MSN/.NET 메신저 연락처에 있는 사용자들에게 보낸다. 하지만 시만텍은 바이러스가 윈도우즈 주소록에 나와있는 사용자의 이메일로 보낸다고 말했다.

파일이 .EXE 첨부파일로 보내지기 때문에 첨부파일을 무심코 열지 않는다면 안전하다.

아래는 Bit Defender에 실린 내용:

=================================

바이러스명: Win32.NiceHello.A@mm

유형: 실행가능한 mass-mailer
용량: 99328 바이트 (압축 해제시 ~256 KB)
발견날짜: 2003년 3월 11일
조사한 날짜: 2003년 3월 11일 13:30 (GMT+2)
감염도: 중간 이하
위험도: 중간(패스워드를 빼낸다)


증상:

- 윈도우즈 폴더에 "systemsys64dvr.exe" 이나 "system32sys64dvr.exe" 파일을 생성한다.

- 레지스트리에 "HKLMSoftwareMicrosoftWindowsCurrentVersionRunSystem 64 Driver for Games" = "sys64drv.exe"; 엔트리를 생성한다.

기술적 세부사항:

Win32.NiceHello.A@mm 은 볼랜드 델피로 작성한 mass-mailer로 UPX로 압축되어 있다. 다음과 같은 내용이 포함된 이메일 메세지와 함께 발송된다:

제목: Codigo fuente
내용: Hola, te mando el codigo fuente que te prometi, esta comprimido; ya sabes esto es solo para vos!!. Saludos
첨부파일: Codigo.exe

제목: Mis primeras animaciones
내용: Te mando la primera animacipn en flash sobre nuestros amigos; espero tus comentarios, recuerda que es solo para vos
첨부파일: Animacion.exe

제목: parche
내용: El parche del programa que me pediste. Cualquier cosa estoy para ayudarte. recuerda que es solo para vos
첨부파일: Parche.exe

제목: Actualizacion de programa
내용: Recien puedo enviarte la actualizacion, es que tuve mucho trabajo, recuerda que es solo para vos
첨부파일: Actualizacion.exe

제목: Datos ultimo trimistre
내용: Los datos del ultimo trimestre esta en el archivo adjunto, estan comprimidos, recuerda que es solo para vos
첨부파일: Datos.exe

제목: Presentaciones PowerPoint
내용: Las presentaciones en power point que tenia que mandarte, estan comprimidas en el archivo adjunto, recuerda que es solo para vos
첨부파일: Presentaciones.exe

제목: ahora el juego va a funcionar
내용: El parche para el juego que mas te gusta, esta comprimido, recuerda que es solo para vos
첨부파일: ParcheJuego.exe

제목: Fotos ultima fiesta
내용: Hola, como estas, te mando las fotos de la ultima fiesta, por cierto tienes una cara!!!. , recuerda que es solo para vos. bye
첨부파일: Fotos.exe

제목: Video de la ultima reunion de amigos, recuerda que es solo para vos
내용: Hola, te mando el video de la ultima fiesta, no se ve muy bien pero algo es algo, recuerda que es solo para vos
첨부파일: Video.exe

제목: Animaciones en flash de nuestros politicos
내용: Mira las animaciones sobre la clase politica del pais, recuerda que es solo para vos
첨부파일: Politicos.exe


예:



사용자가 첨부파일을 실행하면 바이러스는 스스로를 "systemsys64dvr.exe" 혹은 "system32sys64dvr.exe"로 윈도우즈 폴더에 복제하고 레지스트리에 "HKLMSoftwareMicrosoftWindowsCurrentVersionRunSystem 64 Driver for Games" = "sys64drv.exe"라는 엔트리를 생성한다. 바이러스 만든 사람은 아마도 바이러스가 윈도우즈 시스템 폴더에 "sys64dvr.exe" 로 복제되어 부팅시 실행되게 만들려고 한 것 같다.

이 바이러스는 이메일 메세지를 사용자의 MSN과 닷넷 메신저의 연락처에 나온 주소로 보낸다. 또한 다음과 같은 내용을 야후 이메일 주소로 보낸다.

보내는 사람: nemesis@olimpo.com
받는 사람: jcrivas77@yahoo.com
제목: Hello world :) have a nice day
내용:

다음 메세지 박스가 뜬다.



그리고 나서 바이러스는 실행을 종료한다.

제거방법:

해당 파일과 레지스트리 엔트리를 제거한다.

Symantec Antivirus Research Center (SARC)
Bite Defender

의견감추기 리스트보기 펼쳐보이기

1. 1. 서끼 '03.3.14 10:00 AM 신고
   :-D*어디 기사인지 모르지만 볼랜드 델파이를 볼랜드 델피라고 써놨네.. 넘한다.. 글구 메신저 패스워드는 레지스트리에 Base64로 인코딩 되서 저장되어 있어서 맘만 먹으면 알아낼 수 있는데.. ↓댓글에댓글

1. 1. :-D*어디 기사인지 모르지만 볼랜드 델파이를 볼랜드 델피라고 써놨네.. 넘.. 서끼 '03.3.14 10:00 AM