| 증상 및 요약 |
|
 |
| Win32/Aimbot.worm.15872 는 Win32/IRCBot.worm의 변형 중 하나이다. 웜이 실행되면 윈도우 시스템 폴더에 system.exe와 템프 폴더에 5자리 숫자를 가진 랜덤한 파일명.sys를 생성한다. 그리고 특정 IRC 서버의 채널에 접속하여 오퍼(방장)가 내리는 명령에 따라 다양한 악의적인 기능을 수행하게 된다. |
|
| 상세정보 |
|
|
* 전파 경로
|
윈도우 서버 서비스 관련 취약점(MS08-067)또는 오래전에 알려진 RPC DCOM (MS03-039) 취약점 코드가 포함 되어 있다. 그러나 스스로 전파하는 기능은 없고 특정 호스트에 접속후 공격자의 명령에 의해서만 취약점을 이용하여 전파 되는 것으로 보인다. 이 부분은 추후 분석이 완료되는대로 업데이트 될 예정이다.
네트워크 드라이브나 USB 플래쉬 메모리를 통해 전파되며 악성코드 파일(explorer.exe)와 autorun.inf 파일을 생성한다.
|
* 실행 후 증상
|
[파일 생성]
윈도우 시스템 폴더에 랜덤한 7자리 숫자로 된 파일명을 갖는 파일을 생성하는데 악성코드 복사본이다.
주) 윈도우 시스템 폴더는 사용 윈도우에 따라 다르며 보통 윈도우 95/98/ME는 C:\Windows\System, 윈도우 NT/2000은 C:\WinNT\System32, 윈도우 XP는 C:\Windows\System32 폴더이다.
* Win32/AimBot.worm.15872 증상 *
실행되는 파일명이 system 이라면 시스템 시간을 2090년 1월 1일로 변경하지 않는다. 다만 "system"이 아닌 다른 이름으로 실행하면 시스템 시간을 2090년 1월 1일로 설정한다. 그리고 윈도우 방화벽 허용 리스트에 자신을 등록해둔다.
부팅 후 자동실행 되기 위해서 다음 레지스트리 값을 생성 시킨다. 해당 레지스트리키는 악성코드가 실행 중 일 때는 접근 할 수가 없다.
Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon
그리고 7자리 난수를 발생시켜 system32 폴더에 자기 자신을 복사 해둔다. 5자리 난수를 발생시켜 C:\Documents and Settings\(사용자 계정)\Local Settings\Temp 에 sys 파일을 생성한다.
또한 악성코드는 다음과 같은 쓰레드를 생성하는데 하는 증상은 다음과 같다.
- 외부로 부터 메시지를 받기 위한 쓰레드(Thread) 생성
- sex.(제거됨).com에 접속하기 위한 쓰레드 생성
- 자신이 생성한 Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon 키 값의 변화를 감지하여 키 값을 삭제 혹은 변경하였을 경우 다시 원래대로 복구한다.
위에서 언급한 랜덤한 5자리 숫자로 된 파일명을 갖는 sys 파일을 생성하는데 V3에서 Win-Trojan/Agent.4096.EI 으로 진단된다.
주) 템프 폴더는 C:\Documents and Settings\사용자 계정명\Local Settings\Temp 폴더이다.
* Win-Trojan/Agent.4096.EI 의 증상 *
1. 다음의 시스템의 네트워크 디바이스에 Attach된 모니터링 드라이버를 제거한다.
Tcpip, Udp, Tcp, IPMULTICAST, Ip
- 방화벽이나 패킷모니터등의 네트워크 감시모듈을 제거한다.
2. ntoskrnl.exe의 Unknown 윈도우보안 함수를 후킹하여 레지스트리의 보안키에 대한 접근을 모니터링하며 Winlogon 프로세스가 호출한 경우 원본함수 호출하지 않는다.
\Registry\Machine\Security\Policy\Secrets\
- 위 레지스트리는 시스템의 사용자계정과 패스워드등의 중요 보안정보를 백업하는 중요키이며, 일반적인 레지스트리 편집기로는 해당 내용을 볼 수 없다. 레지스트리 편집기에는 HKLM\SECURITY 까지만을 확인할 수 있다.
3. \Driver\Atapi 디바이스의 DriverStartIo 함수를 후킹한다.
- 파일시스템 드라이버 입출력시 악성코드 드라이버 모듈 및 레지스트리를 은닉 하도록 한다.
4. ntoskrnl.exe의 IoCallDriver 함수를 후킹한다.
- 해당함수 후킹을 통하여 자신의 파일에 대한 보호를 한다.
- 시스템 시간을 2090년 1월 1일로 변경한다.
* 기타 증상 *
시스템에 따라서 악성코드가 실행 될 때 블루스크린(BSOD)가 발생 될 수 있다. 이러한 이유는 악성코드가 생성하는 드라이버를 로드 하는 과정중에 시스템에 설치된 다른 드라이버와 충돌이 발생한 것으로 보인다. 이후 이와 같은 증상으로 시스템이 정상적으로 부팅 되지 않을 수 있다. 또한 윈도우 로그온 화면에서 정상적인 로그온을 하지 못하고 시스템이 계속적으로 재부팅 될 수 있다. 이 또한 악성코드가 자신을 특정 레지스트리 값에 등록 하려고 할 때 버그 또는 원인을 추정 할 수 없는 이유로 정상적으로 해당 레지스트리 키값을 인식하지 못하여 발생 하는 것으로 추정 된다.
| |
|
| 치료법 |
|
|
* V3 Internet Security (2007 / 2007 Platinum / 7.0 Enterprise / 7.0 Platinum Enterprise) 사용자
1. 제품 실행 후 오른쪽 상단의 [업데이트]를 선택하거나 업데이트 파일을 통해 최신 엔진 및 패치 파일로 업데이트 한다.
2. 왼쪽 메뉴의 [바이러스 검사]를 선택 후 [검사하기]를 누른다.
3. 빠른 검사, 수동 검사, 사용자 목록 검사 중 검사 방법을 선택 후 [검사 시작]을 누른다.
4. 메모리에서 실행중인 악성코드가 발견되면 일반적으로 자동 치료(삭제)된다.
5. 메모리 검사와 파일 검사가 끝나면 진단 결과에 진단명이 나타난다. 여기서 '모두 선택'이나 개별 선택 후 [치료하기]를 눌러 진단된 악성코드를 치료(삭제)한다.
6. 치료 혹은 삭제 할때 추가/변경 된 레지스트리 값은 자동 수정된다.
7. 치료 실패 혹은 재감염이 발생할 경우 우선 안전모드로 부팅 후 치료해 본다. 계속 치료 실패 혹은 재감염 증상이 발생한다면 안리포트 결과와 함께 신고센터로 문의한다. |
|
