• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

Email-Worm, Win32.Nyxem.e 웜 확산 2006.01.23

지오트 바이러스 분석실(GCERT)는 2006년 1월 18일 Email-Worm.Win32.VB.bi 라는 진단명으로 WinZip.zip(빈공간 39칸).sCR 파일이 이메일로 확산되는것을 발견했다고 23일 발표했다.


이 웜은 외국쪽에서 빠르게 확산되고 있으며, 진단명은 Email-Worm.Win32.Nyxem.e 로 변경된 상태이다. 이 웜은 Winzip 아이콘을 사용하며 UPX 로 실행압축(95,690 바이트)되어 있다.


웜 파일이 실행되면 시스템 폴더에 sample.zip 또는 winzip.zip(빈공간).zip등의 0 바이트파일을 생성하고 실행하는데 Winzip 이 설치된 경우에 아래와 같은 창이 출력되고, 키보드와 마우스가 작동하지 않는다.


공격되는 파일의 확장자는 아래와 같은 순서로 지정되어 있다.

*.doc

*.xls

*.mdb

*.mde

*.ppt

*.pps

*.zip

*.rar

*.pdf

*.psd

*.dmp


이메일 첨부파일로 자신을 확산시키는 이메일 웜이므로 각별한 주의가 요망되며, 감염된 사용자일 경우 아래와 같은 확장자의 파일에서 새로운 이메일 주소를 수집해 자동 확산시키는데 사용한다.

.HTM

.DBX

.EML

.MSG

.OFT

.NWS

.VCF

.MBX

.IMH

.TXT

.MSF


특히 이 웜은 특정사이트 주소에 CGI 카운터를 이용해 감염현황을 체크하고 있다.

2006 년 1월 22일 오후 11시 40분(현재) 550801 이다.




감염될 경우 아래와 같은 경로에 웜파일을 생성하며, 레지스트리에 시작프로그램으로 등록해 재부팅시 자동으로 실행되도록 지정한다.

ScanRegistry = "scanregw.exe /scan"


지오트 바이러스 분석실(GCERT)의 감염 테스트에서는 아래와 같은 파일이 생성됐다.


보호된 운영 체제 파일 숨기기 기능을 사용하기 위해 특정 폴더옵션 설정 레지스트리값을 0으로 변경한다.(0=사용 1=사용 안 함)


"ShowSuperHidden"=dword:00000000


감염된 후에 폴더옵션을 변경하더라도, 프로세스에 웜이 상주할 경우 수시로 레지스트리값이 변경된다.


예약작업을 추가해 WINZIP_TMP.exe 파일을 예약된 시간에 자동실행되도록 한다.




확산시 아래와 같은 이메일 제목등을 사용한다.

Part 1 of 6 Video clipe

You Must View This Videoclip!

Miss Lebanon 2006

Re: Sex Video

My photos

The Best Videoclip Ever

School girl fantasies gone bad

A Great Video

Fuckin Kama Sutra pics

Arab sex DSC-00465.jpg

give me a kiss

*Hot Movie*

Fw: Picturs

Fw: Funny :)

Fwd: Photo

Fwd: image.jpg

Fw: Sexy

Fw: Real show

Fw: SeX.mpg

Fwd: Crazy illegal Sex!

eBook.pdf

Word file

the file


아래와 같은 파일명과 확장자를 이용해 첨부되며, 아래의 경우 이메일 Encoding 방식으로 MIME, UUENCODE, BASE64 등을 의미하며, Binary 파일을 이메일로 전송하기 위해 사용한다.


내부에 웜 파일을 포함하고 있다.

Attachments[001].B64

3.92315089702606E02.UUE

SeX.mim

Sex.mim

Original Message.B64

WinZip.BHX

eBook.Uu

Word_Document.hqx

Word_Document.uu

Video_part.mim

Attachments00.HQX

Attachments001.BHX


아래는 실행가능한 화면보호기(SCR)확장자를 이용한 경우의 파일명이며, begin 664 로 시작하는 UUENCODE 등의 내부에 포함된 파일명이다.


또한 실행파일이 아닌 것처럼 위장하기 위해 확장자 중간에 빈공간을 불규칙하게 다수 포함하고 있는데 아래는 지오트 바이러스 분석실(GCERT)에서 실제 빈공간을 포함한 파일명을 분석한 것이다.


MS-DOS 프로그램용 바로 가기 확장자인 PIF(Program Information File)로 위장해 확산하는 경우 아래와 같은 파일명을 이용한다.

04.pif

007.pif

School.pif

photo.pif

DSC-00465.Pif

image04.pif

677.pif

DSC-00465.pIf

New_Document_file.pif

eBook.PIF

document.pif


네트워크 공유폴더를 통해서 확산을 시도하며, 백신이 설치된 경우를 체크해 아래와 같은 경로에 특정 백신폴더가 있을 경우 에는 감염시도를 하지 않는다.


특정 백신폴더가 없을 경우 아래와 같은 경로와 파일명으로 감염을 시도한다.


시작메뉴에 윈집의 바로가기(WinZip Quick Pick.lnk)가 있을 경우 삭제하며, 특정 보안프로그램의 레지스트리키를 삭제해 사용하지 못하도록 한다. 또한 특정 공유폴더와 보안프로그램의 폴더도 삭제하며, 백신이나 바이러스 관련 특정 문자열이 포함된 윈도우창을 종료한다.

[길민권 기자(is21@infothe.com)]


<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>