게시판 뷰
게시판 뷰페이지
Win32/Moega.worm.109088 웜 예보
작성자 박종욱
날짜 2003.11.12
조회수 4,668
◈ 개요 
2003년 11월 7일 처음 발견되었으며, 이 웜은 윈도우 2000 / XP 시스템의 관리목적 공유 폴더의 사용자 로그인 계정의 암호가 없거나 유추하기 쉬운 경우 웜에 하드코딩된 다수의 아이디와 암호를 이용하여 접속한다. 실행된 웜은 특정한 IRC 서버에 접속을 시도하게 되며 접속이 되면 일반적으로 Master 라고 불리우는 채널 개설 자의 명령에 따라서 감염된 시스템은 시스템의 H/W정보, 특정한 게임들의 CD-Key 유출, 키로거 기능과 같은 악의적인 증상이 있을 수 있다. 또한 다른 시스템의SYN Flooding, Ping 공격등에 이용될 수도 있다. 아울러 웜 자신을 전파하기 위하여 TCP/139, 445 포트를 이용하는데 어떤 경우 네트워크 트래픽으로 인하여 시스템이 느려질 수도 있다. ◈ 다른 이름 : W32/Sluter.worm, W32.HLLW.Moega.E
◈ 전파 경로
- TCP/139, (null session을 이용한 접속), 445(IPC$)를 이용하여 대상 IP를 스캐닝하게 된다. IP를 감염된 시스템의 IP 또는 동일 서브넷중에서 선택되어질 수 있다. - 메일 : 메일의 제목, 본문, 첨부 파일은 Master 가 지정할 수도 있다. - Instant Messenger : AIM, MSN, Yahoo 의 메신저에서 메시창에 URL 을 띄우는 형식으로 보낸다. - mIRC : 감염된 사용자가 mIRC 를 이용하여 특정한 채널에 접속한 경우 해당 채널에 있는 모든 사용자에게 웜을 보낼 수 있다. 위 전파 경로는 기본값은 아니며 IRC 서버에 접속되었을 때 Master 로부터 명령(해당 응용 프로그램이 설치된 경우)을 받으면 보낼 수 있게 된다. ◈ 전파 방법 및 대상
위의 전파 경로의 의해 선택되어진 시스템은 다음의 문자열에서 사용자명 또는 암호등을 조합하여 접속을 시도하게 된다. 따라서 다음과 같은 암호 또는 사용자명을 사용하고 있다면 즉시 변경하도록 한다. - !@#$%^&* - !@#$%^& - !@#$%^ - !@#$% - !@#$ - 654321 - 123456 - 1234 - 123 - 111 - server - secret - password - password123 - pass - pass123 - hidden - asdfgh - asdf - wwwadmin - user - system - sqlagent - sql - root - owner - guest - database - administrator - admin 접속이 성공되면 자신을 윈도우 시스템 폴더(일반적으로 c:\winnt\system32, c:\windows\system32)에 다음의 파일명으로 복사하게된다. - wupdated.exe : 109,088 바이트의 크기를 가지며 웜은 윈도우 XP 의 윈도우 업데이트 아이콘 모양과 파일 등록 정보를 가지고 있어 사용자를 속이려 하고 있다. ◈ 실행후 증상
1.실행된 웜은 다음번 부팅시에도 동작하도록 자신을 서비스로 등록하는데 다음과 같다. - Service name = Wupdated - Displayname = Windows Update Service 2.추가되는 레지스트리 경로는 다음과 같다. - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Wupdated <- 추가 - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Wupdated <- 추가 이후 특정 IP 에 대한 DNS 쿼리를 통하여 인터넷 접속여부를 확인하게된다. 인터넷에 접속된 경우라면 웜 내부에 하드코딩된 IRC 서버에 접속을 시도한다. 정상적으로 접속이되고 특정한 채널에도 접속이 된 경우 일반적으로 IRCbot 류는 Master (옵퍼) 라고 불리우는 방장의 명령을 받게 될 수 있다. 보통 다음의 악의적인 명령을 받을 수 있다. - 키로그 기능 - 실행중인 프로세스 강제종료 - 특정 IP 에 대한 SYN Flooding, Ping 공격 - 감염된 시스템의 H/W 정보획득 - 유명 게임들의 CD-KEY 획득 - 전파를 위한 IP 스캐닝 ◈ 치료 방법
- 수동 치료 방법 1.Wupdated.exe프로세스를 종료 시킨다.(WINDOW 2000/XP에서는 작업 관리자를 이용하여 프로세스를 종료 시킨다.) 2."시작->검색->파일 또는 폴더" 를 이용하여 파일명 Wupdated.exe이름으로 관련 파일을 찾아 삭제한다. 보통 윈도우 시스템 폴더(일반적으로 C:\Windows\System,C:\Windows\ System32,C:\WinNT\System32)에 설치되어 있다. 3."시작->실행" 에서 'regedit'를 타이핑 후 엔터를 치면 레지스트리 편집기가 실행되는데, 여기서 다음의 경로를 찾아가 Wupdated를 삭제한다. - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 이 름 : Wupdated - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Wupdated 이 름 : Wupdated ※ 잘못된 레지스트리의 수정작업은 시스템의 이상을 발생시킬 수 있으므로 수정 작업시 주의 하도록 한다. ◈추가정보/참조사이트
안철수 연구소 : Win32/Moega.worm.109088 ◈ 문의처
정보통신원 시스템 운영과 (서울) 2989 (천안) 1723