게시판 뷰
게시판 뷰페이지
WORM_DELODER.A 웜 바이러스 예보
작성자 백승민
날짜 2003.03.11
조회수 4,642
현재 해당 바이러스와 관련하여 네트워크포트스캔이 크게 증가하고 있으니 아래내용을 참고하시어 감염에 대비하시기 바랍니다.

☆ 개요
2003년 3월 9일 외국에서 처음 발견되었다. 네트워크 공유를 통해 전파되며, 아직 국내에 유입 유무는 확인되지 않았다. WORM_DELODER.A 웜바이러스에 감염되면 445 포트를 스캔하여 administrator 계정으로 접속을 시도하고, CNCERT(중국 CERT)에 의하면, 감염이 되면 원격에서 제어할 수 있는 백도어(5800 or 5900/TCP)를 열어놓고, 동시에 6667/TCP IRC Server에 접속을 시도한다.

☆ 전파방법
① 445/TCP 포트가 열려있는 시스템을 스캔한다.
② 445/TCP 포트가 열려있는 시스템의 Administrator Password가 다음과 같이 설정되어 있으면 침입하여 전파한다.

000000
00000000
111111
11111111
121212
123123
12345
123456
1234567
12345678
123456789
1234qwer
123abc
123asd
123qwe
54321
654321
88888888
abc123
Admin
admin
admin123
administrator
alpha
computer
database
enable
foobar
godblessyou
ihavenopass
Internet
Login
login
mypass
mypc123
oracle
owner
passwd
Password
password
patrick
pw123
secret
server
super
sybase
temp123
test123
ypass123


③ 다음과 같은 위치에 자신(Dvldr32.exe)을 복사하고 백도어 프로그램(inst.exe)를 복사하여 설치한다.
\%s\C$\WINNT\All Users\Start Menu\Programs\Startup\
\%s\C\WINDOWS\Start Menu\Programs\Startup\
\%s\C$\Documents and Settings\All Users\Start Menu\Programs\Startup\

※ \%s = 원격 시스템의 네트웍 이름

④ 원격에서 제어할 수 있도록 5800 or 5900/TCP 포트를 열어 놓는다.

⑤ 6667/TCP 포트를 이용하여 IRC Server로 접속을 시도한다.

☆ 피해증상
- 원격에서 접근할 수 있도록 백도어 프로그램(inst.exe)을 설치하여 5800 or 5900/TCP 포트를 열어놓는다.
- 다른 IRC Sserver로 접속(6667/TCP)을 시도한다.
- 재 부팅시 동작하기 위하여 자신을 시스템에 복사하고, 레지스트리 값에 등록한다.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
messnger = Dvldr32.exe

☆ 감염시 치료방법
- 백신을 최신 버전으로 업데이트 한 후 치료한다.(교내사용 바이로봇의 경우 3월10일자 업데이트 포함)
- 수동으로 치료하는 방법
  • CTRL+SHIFT+ESC를 동시에 눌러 [Windows 작업관리자]를 띄우고 [프로세스] 텝을 클릭한다.
  • Dvldr32.exe 프로세스를 찾아 선택하여 프로세스를 죽인다.
  • 재부팅할 때 웜바이러스가 실행되는 것을 막기 위하여 레지스트리에 등록된 값을 삭제한다.
  • Dvldr32.exe라는 파일명으로 검색하여 파일을 삭제한다.
참고사이트 :
한국정보보호진흥원 : http://www.certcc.or.kr/cvirc/Alert/warning/2003/WORM_DELODER_A.html
하우리 : http://www.hauri.co.kr/virus/vir_read.html?code=WOW3000379