메일 제목이 Happy New Year 이고, Christmas.exe파일이 첨부되어 있는 메일은 바로 삭제하시기 바랍니다.

☆ 개요
KERZAC.A, W32.Zacker.C@mm, W32.zeeeak.A@mm 등으로도 불리며 12월 19일 외국에서 최초 발견되어 20일 현재까지 국내에는 유입되지 않은 W32/Maldal.c@MM은 크리스마스 카드인 것처럼 가장하여 파일명 "Christmas.exe"을 이용한다. 비주얼 베이직 스크립트로 작성되었으며 메일을 통하여 전파되며 일부 안티바이러스 프로그램과 시스템 파일을 삭제, 키보드의 작동이 되지 않는 피해증상을 갖는다.


☆ 전파원리 및 피해증상
⼔ 감염원리

아웃룩 주소록에 있는 모두에게 다음과 같은 형식의 메일을 보낸다.

제 목 : Happy New Year

본 문 : Hii ,
I can't describe my feelings
But all I can say is
Happy new year :-)
bye

첨 부 : Christmas.exe v

⼔ 피해증상

웜이 실행되면 다음과 같은 크리스마스 카드 화면이 나타나고


다음과 같은 레지스트리 값을 이용하여 컴퓨터의 이름을 "Zacker"로 변경하며
HKEY_LOCAL_MACHINESystemCurrentControlSetControlComputerNameZacker

다음의 레지스트리 값을 추가하고
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunZacker
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunZaCker = 윈도우폴더CHRISTMAS.EXE
윈도우 폴더에 Christmas.exe 파일을 생성한다.

인터넷 익스플로러의 시작 페이지를 변경하고
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainStart page = //xxx .com//ZaCker.htm

해당 페이지에 접속하는 경우 Microsoft virtual machine 취약점을 이용하여 자바 스크립트 코드가 실행되어 VBS/Rols 웜을 복사하고 다음과 같은 백신 프로그램을 삭제한다. (현재 해당 웹페이지는 중지되었다.)

Program FilesZone Labs
Program FilesAntiViral Toolkit Pro*.*
Program FilesCommand SoftwareF-PROT95*.*
eSafeProtect*.*
PC-Cillin 95*.*
PC-Cillin 97*.*
Program FilesQuick Heal*.*
Program FilesFWIN32*.*
Program FilesFindVirus*.*
ToolkitFindVirus*.*
f-macro*.*
Program FilesMcAfeeVirusScan95*.*
Program FilesNorton AntiVirus*.*
TBAVW95*.*
VS95*.*
rescue*.*
Program FilesZone Labs*.*

Microsoft virtual machine 취약점은 다음 사이트에서 패치한다.
//www.microsoft.com/technet/treeview/default.asp?url=/TechNet/security/bulletin/ms00-081.asp

또한 키보드가 작동하지 않게 되며 시스템 디렉토리에 있는 DLL, .DRV, .VXD, .TSP와 같은 확장자의 모든 파일을 삭제한다.


☆ 대응방법
메일 수신시 출처 및 용도가 불분명한 메일을 받은 경우, 특히 크리스마스 카드인 것처럼 보이는 위에서 나열된 형태의 메일은 바로 삭제한다. 이미 첨부파일을 실행한 경우 윈도우 디렉토리에서 cristmas.exe 파일을 삭제하고 레지스트리편집기 ( 시작->실행 -> regedit)를 실행하여 새로 생성된 레지스트리 값들을 삭제한다. 웜에 의해 삭제되거나 변경된 부분은 복구하지 못할 수 있다. 최신 백신을 이용하여 다시 검사하고 치료한다.