2007-07-05
안녕하세요 호스트센터(주) 시스템관리부 시스템보안팀입니다.
론다 웜 확산에 따른 감염으로 인한 피해주의를 알려 드립니다.
문의 : 02-6265-1108
담당자 : 김봉기
□ 개요
최근 국내에서 P2P를 통하여 전파되고, 감염 시 윈도우 부팅에 장애를 발생시키는 웜이 출현
하여 주의가 필요
P2P 사용자는 론다 웜이 생성하는 파일명과 동일한 파일들은 다운로드 및 실행하지 않도록
주의 필요
□ 전파 방법
o 푸루나, 버디버디 P2P 공유폴더를 통하여 전파
- 해당 웜은 감염 시 P2P 에 자신을 정상적인 파일로 위장하여 공유 시킴
- P2P 사용자가 해당 파일을 검색 및 다운로드하여 실행시킬 경우 감염됨
o 푸루나 P2P 공유를 통하여 전파
"C:\Program Files\Pruna\Incoming" 폴더 위치에 아래의 이름으로
악성파일 생성 및 공유
muse - uno.mp3.scr
Daniel Powter - Free loop.mp3.scr
Vistar.scr
MP3.scr
GameCrack.scr
excel.scr
microsoft.scr
Crack.scr
비스타크랙.scr
비스타Crack.scr
최신음악.scr
크랙.scr
크랙파일.scr
Virut백신.scr
o 버디버디 P2P 를 통하여 전파
"C:\programm files\buddybuddy\down\" 폴더 위치에 아래의 이름으로
악성파일 생성 및 공유
slipout.scr
muse - uno.mp3.scr
Daniel powter - Free loop.mp3.scr
photo.scr
□ 악성 기능
o 주요 시스템 파일 및 기타파일 삭제
- 아래의 파일들을 삭제
시스템폴더\hal.dll
시스템폴더\Restore\rstrui.exe
C:\WINDOWS\ServicePackFiles\i386\rstrui.exe
시스템폴더\Restore\rstrui.exe
시스템폴더\dllcache\rstrui.exe
시스템폴더\Restore\rstrui.exe
시스템폴더\dllcache\rstrui.exe
C:\Program Files\Ahnlab\V3\*.*
C:\Program Files\Ahnlab\V3
시스템폴더\drivers\acpi.sys
C:\Program Files\Microsoft Visual Studio\*.*
D:\*.*
시스템폴더\drivers\*.*
※ 참고: 윈도우시스템 주요 파일들은 Windows File Protection (WFP) 기능에 의하여
자동 복구됨
o 폴더 삭제
- 아래의 폴더를 삭제시도 함
C:\Program Files\Microsoft Visual Studio\
o 안전모드로 부팅되도록 셋팅
- "C:\BOOT.INT" 파일의 마지막 라인에 "/safeboot:minimal" 문자열을 추가하여
안전모드로 부팅되도록 셋팅
o 시스템 재 부팅
- 아래의 셀 스크립트를 실행하여 시스템을 재부팅 시킴
"shutdown -s -t 60 -c jian1070_Final_kernel_asdwermm"
o 프로세스 중단
- 아래의 셀스크립트를 실행하여 msblster 및 explorer, iexplorer 프로세스를 중단시킴
"C:\WINDOWS\system32\tskill msblast"
"C:\WINDOWS\system32\tskill explorer"
"C:\WINDOWS\system32\tskill iexplore"
o 폴더 및 파일생성
- 아래의 폴더 및 파일을 생성시킴
C:\Program Files\Pruna\Incoming\Virut
C:\net1.exe.scr
C:\net_jian1070.exe.scr
C:\net.exe.scr
C:\jian1070.jpg.scr
C:\jian1070.wmf.scr
C:\asdwermm.eml
o 악성코드 내에 아래의 문자열이 포함되어 있음
Cause its hard for me to lose
In my life Ive found only time will tell
And I will figure out that we can baby
□ 감염 증상
o 감염 후 시스템 부팅에 장애가 발생하게 됨
□ 치료 방법
1. 윈도우OS CD를 넣고 부팅 후 "윈도우 복원" 선택
2. 윈도우 암호 입력 후 아래 명령 입력 후 재부팅
cd c:\windows\system32
expand e:\i386\hal.dl_
3. 시작 -> 실행 -> "msconfig" 입력
4. BOOT.INI 탭에서 "안전모드 부팅" 선택항목 해제
5. 웜이 생성한 파일 삭제
. 위치: C:\Program Files\Pruna\Incoming
. 삭제할파일: muse - uno.mp3.scr
Daniel Powter - Free loop.mp3.scr
Vistar.scr
MP3.scr
GameCrack.scr
excel.scr
microsoft.scr
Crack.scr
비스타크랙.scr
비스타Crack.scr
최신음악.scr
크랙.scr
크랙파일.scr
Virut백신.scr
. 위치: C:\programm files\buddybuddy\down\
. 삭제할파일: slipout.scr
muse - uno.mp3.scr
Daniel powter - Free loop.mp3.scr
photo.scr
. 위치: c:\
. 삭제할파일: C:\net1.exe.scr
C:\net_jian1070.exe.scr
C:\net.exe.scr
C:\jian1070.jpg.scr
C:\jian1070.wmf.scr
C:\asdwermm.eml
□ 예방 방법
o 프루나 및 버디버디 P2P를 사용할 경우, 론다 웜이 생성하는 파일명과 동일한 파일들은
다운로드 및 실행하지 않도록 주의
참조 : 인터넷침해사고대응센터