[안철수연구소] 크리스마스 판촉 이벤트로 눈 속임한 '웜' 주의보

이 웜은 e-메일로 전파되며, 첨부된 ZIP 파일의 압축을 풀고 생성된 파일을 실행하면 감염된다. 발신자 주소는 noreply@coca-cola.com, giveaway@mcdonalds.com, postcards@hallmark.com 중 하나며, 수신자 주소는 먼저 웜에 감염된 PC에 저장된 주소록에서 임의로 선택된다. 때문에 아는 사람으로부터 온 e-메일이 대부분이다.  제목은 ‘Mcdonalds wishes you Merry Christmas!’, ‘Coca Cola is proud to accounce our new Christmas Promotion.’, ‘You've received A Hallmark E-Card!’ 중 하나며, 첨부 파일명은 coupon.zip, promotion.zip, postcard.zip 중 하나이다. 첨부 파일의 압축을 풀면 postcard.exe, coupon.exe, promotion.exe 등 7개 중 한 개의 파일이 만들어지고, 눈사람 모양의 아이콘이 생긴다. 

이 EXE 파일을 실행하면 윈도 시스템 폴더(C:WINDOWSsystem32)에 vxworks.exe로  복사본을 만들고, 다른 변형인 qnx.exe(Win32/Ceein.worm.157184) 파일을 생성한다. 그리고 콜라 값을 할인해준다는 내용의 팝업 창을 띄워 이용자가 정상 파일로 착각하게 만든다.

 그리고 인터넷 익스플로러를 실행해서 특정 주소로 접속해 감염된 PC의 IP를 조회한 뒤 레지스트리에 특정 키 값을 생성해 윈도 운영체제에 들어있는 방화벽을 피한다.