W32.Sircam.Worm@mm(Symantec), TROJ_SIRCAM.A(Trend Micro)로 불리는 웜으로 국내에는 2001년 7월 처음 발견되었다.
이 웜은 웜 과 정상 파일이 같이 붙어있는데 웜 실행시 웜이 일단 실행된후 뒤에 붙은 정상 프로그램을 같이 실행 시켜 주게 된다.
웜이 실행 되면 C:\RECYCLED 폴더에 숨김속성으로 SIRC32.EXE 파일과 웜뒤에 붙어 있는 정상 파일이 생성 되며 TEMP 폴더 (일반적으로, C:\WINDOWS\TEMP)에도 웜의 뒤에 붙어 있는 정상 파일을 생성 시킨다.
TEMP 폴더에 생성된 파일이 실제적으로 사용 되는 파일로 수정등의 작업을 했을때 이곳의 파일이 수정된다. 또한 윈도우 시스템 폴더 (일반적으로 C:\WINDOWS\SYSTEM) 폴더에 SCam32.EXE 파일이 생성되며 이
파일이 윈도우 부팅시 실행되는 실제 파일이다.
웜이 실행되면 레지스트리에 다음의 값이 추가 된다.
HKEY_CLASSES_ROOT\exefile\shell\open\command 항목에
기본값 = "C:\recycled\SirC32.exe" "%1" %*
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion
\RunServices 항목에
Driver32 = "C:\WINDOWS\SYSTEM\SCam32.exe"
HKEY_LOCAL_MACHINE\Software 메뉴에 SirCam 메뉴가 추가 된다.
웜은 E-MAIL 로 전파가 되며 다음과 같은 형식으로 전파가 된다.
제목 : 첨부되는 파일 이름과 동일
영어 메일
첫줄 내용: Hi! How are you?
가운데 들어 가는 내용은 다음의 4개의 문장중 랜덤하게 하나가 선택되어 포함된다.
I send you this file in order to have your advice
I hope you can help me with this file that I send
I hope you like the file that I sendo you
This is the file with the information that you ask for
마지막 내용 : See you later. Thanks
ps. 임프님 글에 본 내용을 답변으로 해서 지금과 같은 제목으로 적으려고 했는데 오류가 났습니다.
$* is not valide integer인가하는 오류였습니다.
|