Win32/PetTick.8704.C

Win32/PetTick.8704.C

 

 

이 웜 바이러스는 프랑스에서 만들어졌고, 메일로 전파되고, 매주 금요일에 메세지를 출력한다. 또한 RAR 압축파일에 웜 바이러스 파일을 추가한다.

 

아직 국내에서는 발견되지 않았고, 2001년 10월 12일에 외국에서 최초로 발견되었다.

 

이 웜 바이러스는 다음의 메일로 전파된다.

 

제목 : Everybody against the terrorists !

내용 :
This freeware will help us to fight the terrorist
who kill innocent civilians
Click at the attached file to see.

첨부파일 : StopTerrorists.exe

해석:

 

제목: 모두가 테러리스트들에게 대항해야 한다!

 

내용: 이 무료 소프트웨어는 무고한 시민들을 죽인 테러리스트들과 싸우는 데 도움을 줄 것이다. 첨부된 파일을 실행시키시오.

 

웜이 실행되면 금요일인지 확인하고, 금요일이면 다음의 메세지창이 화면에 출력된다. 

 

I-Worm,Super coded by PetiK

 

Because of the different terrorism acts in the USA 

I don't will destroy your computer.

 

If you have some informations about the authors of Ben Laden,

PLEASE CONTACT THE FBI

 

해석:

 

미국에서의 테러리즘 법이 다르기 때문에 나는 너의 컴퓨터를 파괴하지 않을 것이다.

authors(문맥상으로 확인불가)이나 빈라덴에 관한 정보를 가지고 있다면 FBI에 제보해달라.

실행된 웜 바이러스를 윈도우 시스템 폴더(일반적으로 C:\WINDOWS\SYSTEM)에 Visual8.exe파일로 복사한 후, 

레지스트리에 다음의 값이 추가된다.

 

이름: Visual Debugger 데이터: "C:\WINDOWS\SYSTEM\Visual8.exe" 

 

레지스트리에 항목을 추가한 후 C:\에 wrm.vbs파일을 생성한 후 실행하는데 이 스크립트가 실행되면 아웃룩에 있는 주소록을 email.mel 파일에 보관한다. vbs 파일이 종료되면 이 파일을 삭제한 후 email.mel 파일에 숨김 속성을 걸게 된다.

다음으로 인터넷에 연결되었는지 체크하게 되는데 인터넷에 연결되지 않으면 사용자가 인터넷에 연결하는동안 계속 메모리에 떠 있게 된다. 인터넷에 연결되어 있다면 email.mel 파일에 있는 사용자에게 메일을 발송한다. 또한 RAR파일을 감염시키는데 RAR파일의 뒷 부분에 웜 바이러스 파일을 압축파일에 추가하고, 추가된 파일은 SUPER.EXE라는 이름을 갖는다. 

 

익스플로어의 시작 페이지가 다음 사이트라면

http://stcom.net/
http://stcom.net/default2.htm
http://stcom.net/qoqazfr
http://stcom.net/kavkoz
http://stcom.net/falestine
http://stcom.net/oulamah
http://stcom.net/Oulamah
http://stcom.net/An-Nissa
http://stcom.net/ahghanistan
http://www.alesteqlal.com/

 

레지스트리의 다음 항목을 변경한다. 

 

이름: Visual Debugger 데이터: "C:\WINDOWS\SYSTEM\Visual8.exe" 

 

다음으로 메일로 웜 바이러스 파일을 전송하는데 다음의 내용으로 전달된다. 첨부파일인 information.txt 파일은 C:\에 만든 후 메일을 발송한 다음 삭제된다.

제목 : WARNING ABOUT DJIHAD AND PERHAPS BENLADEN!

받는사람 : newyork@fbi.gov@fbi.gov
내용 :

This is a mail written by a worm called I-Worm.WTC coded by PetiK.
The reason to receive this sort of mail is that the worm has found in the
somebody's computer the link to http://stcom.net or other site web dealing with the djihad.
You can see someinformations about this person with Start Page of MSIE,registered owner and the country.
I hope that it help you in your inv estigations abou t the terrorist attacks
in NYC a nd Washington DC
I-Worm.WTC - PetiK

첨부파일 : Information.txt

해석: 

제목: 지하드(이슬람교의 성전(聖戰))와 빈라덴에 대해 경고한다.

 

내용:

 

이 메일은 PetiK에 의해 만들어진 I-Worm.WTC 웜 바이러스에 의해 작성되었다. 

이러한 메일을 보낸 이유는 이 웜(바이러스)이 누군가의 컴퓨터에서 http://stcom.net 또는 지하드와 관련된 사이트와 연결된 것을 찾았기 때문이다.

당신은 이 자의 인터넷 익스플로어의 시작페이지, 등록된 소유자, 국가에 관한 몇 가지 정보를 볼 수 있다. 

나는 이것이 테러리즘 공격에 대한 당신의 수사에 도움이 되길 바란다. 

뉴욕과 워싱턴 DC에서 

I-Worm.WTC - PetiK

 

첨부파일의 내용은 다음과 같다. 

 

[Information about the suspect written by the worm]

Start page of MSIE=http://stcom.net/

Name of the suspect= S A T A N I K C H I L D

Country of the suspcet=한국(한글 윈도우에서 실행시킴)

첨부파일에 들어가는 내용에는 인터넷 익스플로어의 시작페이지와 국가 정보가 있고, 이들 정보가 미국 연방수사국(FBI)로 전송되는데 웜의 버그로 인해 전송되지 않을 수 있다. 

 

참고:

안철수연구소