2007-07-20
안녕하세요 호스트센터(주) 시스템관리부 시스템보안팀입니다.
론다 웜 변종 출현에 따른 감염으로 인한 피해주의를 알려 드립니다.
문의 : 02-6265-1108
담당자 : 김봉기
□ 개요
최근 P2P 공유를 통하여 전파되는 론다웜의 변종이 출현하여 주의가 필요함
감염 시, 웜이 실행된 폴더 및 하위 폴더가 삭제되고 특정 레지스트리를 변경 및 추가하며
exe, wmv, mp3, mpeg 등의 파일이 정상적으로 열리지 않음
P2P 사용자는 최신 영화 파일이나 음원 파일 다운로드 시 백신 검사를 통해 확인한 후
실행시킬 것을 권장함
□ 전파 방법
o QFile P2P 공유폴더를 통하여 전파
- 해당 웜은 감염 시 QFile의 P2P 공유폴더에 자신을 정상적인 파일로 위장하여 공유시킴
※ P2P 사용자가 해당 파일을 검색 및 다운로드하여 실행시킬 경우 감염됨
※ c:\Program Files\QFile\Upload\ 폴더 위치에 아래 이름으로 악성파일 생성 및
공유함
※ 다른 변종의 경우 QFile 이외에 다른 P2P 프로그램을 통하여 전파될 수 있으므로,
P2P를 통한 파일 다운로드 시 주의가 필요함
4.4.4..CD1.avi-.exe
4.4.4..CD1.smi-.exe
4.4.4..CD2.avi-.exe
4.4.4..CD2.smi-.exe
Daniel Powter - Free Loop.mp3-.exe
muse - uno.mp3-.exe
[The Fray] - How To Save a Life.mp3-.exe
그대를 알고 - 양파.mp3-.exe
기담1.CD1.avi-.exe
기담1.CD1.smi-.exe
기담1.CD2.avi-.exe
기담1.CD2.smi-.exe
눈물 - M.C. The Max.mp3-.exe
다이하드4.0.CD1.avi-.exe
다이하드4.0.CD1.smi-.exe
다이하드4.0.CD2.avi-.exe
다이하드4.0.CD2.smi-.exe
디센트.CD1.avi-.exe
디센트.CD1.smi-.exe
디센트.CD2.avi-.exe
디센트.CD2.smi-.exe
디워.CD1.avi-.exe
디워.CD1.smi-.exe
디워.CD2.avi-.exe
디워.CD2.smi-.exe
사랑..그게 뭔데 - 양파.mp3-.exe
사랑앓이 - F.T Island.mp3-.exe
사랑은 가슴이 시킨다 Part.2 - BUZZ.mp3-.exe
사랑의 인사 - 씨야 (SeeYa).mp3-.exe
샴.CD1.avi-.exe
샴.CD1.smi-.exe
샴.CD2.avi-.exe
샴.CD2.smi-.exe
우아한세계1.CD1.avi-.exe
우아한세계1.CD1.smi-.exe
우아한세계1.CD2.avi-.exe
우아한세계1.CD2.smi-.exe
트랜스포머.CD1.avi-.exe
트랜스포머.CD1.smi-.exe
트랜스포머.CD2.avi-.exe
트랜스포머.CD2.smi-.exe
해리포터와불사조기사단.CD1.avi-.exe
해리포터와불사조기사단.CD1.smi-.exe
해리포터와불사조기사단.CD2.avi-.exe
해리포터와불사조기사단.CD2.smi-.exe
화려한휴가.CD1.avi-.exe
화려한휴가.CD1.smi-.exe
화려한휴가.CD2.avi-.exe
화려한휴가.CD2.smi-.exe
□ 악성 기능
o 파일 생성
- C:\ 폴더 아래 You_want_to_die.log 파일을 생성함
o 파일 삭제
- 감염 시, "C:\Documents and Settings\"로그인아이디"\바탕 화면" 폴더와 하위 폴더 내의
파일들을 모두 삭제함
- rstrui.exe 파일을 삭제하여 시스템 복원을 방해함
%시스템폴더%Restore\rstrui.exe
%시스템폴더%dllcache\rstrui.exe
%윈도우폴더%ServicePackFiles\i386\
- Favorites 폴더내의 파일들을 삭제함
o 부팅 시 계속적인 활동을 위하여, 레지스트리에 등록
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 에
windows 이름으로 자신을 등록함
o 아래의 레지스트리를 변경 및 추가하여 exe 파일이 정상적으로 실행되지 않도록 하거나
wmv,mp3,mpeg 파일등이 정상적으로 열리지 않도록 함
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WMVFile\shell\open\command]
"C:\Program Files\Windows Media Player\wmplayer.exe" 를
"C:\Windows\ronda" %1 로 변경
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\wmafile\shell\open\command]
"C:\Program Files\Windows Media Player\wmplayer.exe" /prefetch:5... 를
"C:\Windows\ronda" %1 로 변경
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mpegfile\shell\open\command]
"C:\Program Files\Windows Media Player\wmplayer.exe" /prefetch:9... 를
"C:\Windows\ronda" %1 로 변경
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mp3file\shell\open\command]
"C:\Program Files\Windows Media Player\wmplayer.exe" /prefetch:6... 를
"C:\Windows\ronda" %1 로 변경
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
"%1" %* 를 "C:\Windows\ronda" %1 로 변경
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\wavfile\shell\open\command]
"C:\Windows\ronda" %1
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\smifile\shell\open\command]
"C:\Windows\ronda" %1
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\plsfile\shell\open\command]
"C:\Windows\ronda" %1
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\oggfile\shell\open\command]
"C:\Windows\ronda" %1
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mpgfile\shell\open\command]
"C:\Windows\ronda" %1
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mp2file\shell\open\command]
"C:\Windows\ronda" %1
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\movfile\shell\open\command]
"C:\Windows\ronda" %1
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\logfile\shell\open\command]
"C:\Windows\ronda" %1
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\emlfile\shell\open\command]
"C:\Windows\ronda" %1
o 사이트 접속
- file.ze.to 사이트로 접속함
참조 : 인터넷침해사고대응센터