아마 Storm 웜에 대해 들어본 적이 있습니까? 아마도 국어를 애용하는 사람이라면 잘 모르는 경우가 대부분입니다. 이 웜은 주로 제목에 중요한 사실/뉴스 등을 담은 스팸 메시지를 통해 전염되지만 영어인 관계로 한국 환경에서는 그리 크게 주목을 받지 못하였습니다.
잠시 이 웜에 대해서 소개해 드립니다. Storm 웜은 지난 1월 달에 최초 발견된 것으로 알려지고 있으며, 주로 영어권 국가인 유럽쪽에 많이 감염되었습니다. 특히, Storm 웜은 스팸 메시지의 제목에 "230 dead as storm batters europe"와 같이 중요한 뉴스거리 즉, 낚시질 제목으로 많은 사람들이 감염되었습니다. 2월 달에는 발렌타인 데이에 관해서, 최근 3월에는 제 3차 세계 대전에 대한 소식으로 한번 더 전세계적으로 전파가 되었습니다.
이 스팸 메시지의 형태는 다음과 같습니다.
제목
Virus Detected!ected!
Virus Activity Detected!
ATTN!
Spyware Alert!
Spyware Detected!
Warning!
Trojan Alert!
Trojan Detected!
Worm Activity Detected!
Virus Alert!
본문
From: Customer Support
Dear Customer,
Our robot has detected an abnormal activity from your IP
address on sending e-mails.
Probably it is connected with the last epidemic of a worm which does not have official patches at the moment. We recommend you to install this patch to remove worm files and stop email sending, otherwise your account will be blocked. We had archived the patch because the worm can modify unpacked exe files. You should open the archive file, enter the password and run the patch immediately.
Password: {Random}
Customer Support Center Robot.
Attachment: Patch-{Random}.zip
첨부 파일
보통 2개의 첨부파일을 포함하고 있습니다. 하나는 일반 그림 파일(*.gif)이고 나머지 하나가 비밀번호로 압축된 zip 파일입니다. 보통 다음의 이름을 가집니다.
removal-[5 RANDOM DIGITS].zip
hotfix-[5 RANDOM DIGITS].zip
bugfix-[5 RANDOM DIGITS].zip
Stom 웜이 새롭게 선보인 기술이 바로 이 비밀번호로 보호하는 zip 파일입니다. 첨부 파일의 비밀번호는 글자와 숫자로 섞여 랜덤하게 조합됩니다. 물론, 이메일에는 비밀번호가 포함되어 있어 쉽게 알 수는 있습니다.
만약 zip 파일에 비밀번호를 넣어서 열어서 실행을 하면, Storm 웜을 PC에 설치하고 바이러스 스캐너로부터 자신을 보호하기 위해 루트킷을 이용하여 숨깁니다. 루트킷에 사용되는 대표적인 파일은 wincom32.sys이고 다음과 같이 루트킷 탐지 프로그램을 찾아 낼 수 있습니다.
루트킷 구성요소
SSDT
ZwEnumerateKey
C:\WINDOWS\system32\wincom32.sys
SSDT
ZwEnumerateValueKey
C:\WINDOWS\system32\wincom32.sys
SSDT
ZwQueryDirectoryFile
C:\WINDOWS\system32\wincom32.sys
IRP
\Driver\Tcpip->IRP_MJ_DEVICE_CONTROL
\\??\C:\WINDOWS\system32\wincom32.sys
대부분의 안티 바이러스 프로그램에서는 이러한 탐지 기술을 가지고 있지 않기 때문에 알아 내기가 그리 쉽지 않습니다. 하지만, 안티루트킷 프로그램을 이용하여 손쉽게 알아 낼 수 있습니다. 참고로, 첨부파일 중 하나를 분석해 놓은 자료를 참고하시기 바랍니다.
마무리
아직 국내에는 대부분 바이러스 백신, 악성코드 프로그램만 알고 있을 뿐, 루트킷에 대해 그리 많은 정보가 알려져 있지 않습니다. 이제부터는 안티 바이러스 제품과 함께 안티 루트킷 제품을 사용하여 정기적으로 감염 여부를 검사하길 추천합니다.
AVG Anti-Rootkit 프로그램 다운로드
자료: Antirootkit.com
'새로운 소식' 카테고리의 다른 글
[중앙일보 기사]요 독한 놈들 주사 한 방 맞아볼텨? (0) | 2007.04.19 |
---|---|
어베스트 안티 바이러스 v4.7.986의 출시 안내 (0) | 2007.04.19 |
어베스트 안티 바이러스 v4.7.981의 출시 안내(새로운 기능) (0) | 2007.04.15 |
[해킹:루트킷] Windows 2003 std 에 sp2 를 설치하려고 했으나 계속해서 실패 (0) | 2007.04.12 |
Avast! SE 안티바이러스를 삭제하는 루트킷 발견! (0) | 2007.04.12 |