2006-02-04
호스트센터 기술 보안팀 입니다.
이번에 확산되는 웜은 악성 메일과 OS의 취약한 암호 설정을 악용하여 중요문서등을 감염시키는 웜입니다. 고객님들께서는 아래내용을 읽어보시고 사전 예방 및 주의를 부탁드립니다.
□ 개요
o 감염되면 매월 3일에 워드, 엑셀, 파워포인트 파일 등 중요 파일을 에러메시지로 덮어쓰는 Nyxem 웜이
국내외에서 확산되고 있어 주의가 요구됨
※ 참고: Nyxem은 백신회사에서 따라 Grew, Blackworm, MyWife, Blackmal, Generic 등으로 명명됨
□ 감염대상 시스템
o Windows 9x, ME, 2000, NT, XP, 2003
□ 전파 기법
o 웜 복사본을 첨부한 악성메일을 발송하여 전파
o OS의 취약한 암호 설정을 악용하여 전파
□ 웜이 발송하는 악성 메일 유형
웜이 발송하는 메일 유형은 아래와 같음. 다음과 같은 유형의 메일을 수신할 경우 열어보지 않도록 함.
o 메일 제목: 아래 형태 중 하나
- "A Great Video"
- "Arab sex DSC-00465.jpg"
- "eBook.pdf"
- "Fw:"
- "Fw: DSC-00465.jpg"
- "Fw: Funny :)"
- "Fw: Picturs"
- "Fw: Real show"
- "Fw: SeX.mpg"
- "Fw: Sexy"
- "Fwd: Crazy illegal Sex!"
- "Fwd: image.jpg"
- "Fwd: Photo"
- "give me a kiss"
- "04.pif"
- "Miss Lebanon 2006"
- "My photos"
- "Part 1 of 6 Video clipe"
- "Photos"
- "Re:"
- "School girl fantasies gone bad"
o 메일 본문: 아래 형태 중 하나
- ">> forwarded message"
- "forwarded message attached."
- "Fuckin Kama Sutra pics"
- "hello,"
- "Helloi attached the details."
- "Hot XXX Yahoo Groups"
- "how are you?"
- "i just any one see my photos."
- "i send the details."
- "i send the file."
- "Its Free :)"
- "Note: forwarded message attached. You Must View This Videoclip!"
- "Please see the file."
- "Re: Sex Video "
- "ready to be FUCKED ;)"
- "Thank you"
- "The Best Videoclip Ever"
- "the file i send the details"
- "VIDEOS! FREE! (US$ 0,00)"
- "What?"
* 메일 첨부 형태: 아래 형태 중 하나
- 04.pif
- 007.pif
- 392315089702606E-02,.scR
- 677.pif
- Adults_9,zip.sCR
- ATT01.zip.sCR
- Attachments[001],B64.sCr
- Clipe,zip.sCr
- document.pif
- DSC-00465.Pif
- DSC-00465.pIf
- eBook.pdf
- eBook.PIF
- image04.pif
- New Video,zip
- New_Document_file.pif
- photo.pif
- Photos,zip.sCR
- School.pif
- SeX,zip.scR
- Sex.mim
- Video_part.mim
- WinZip,zip.scR
- WinZip.BHX
- WinZip.zip.sCR
- Word XP.zip.sCR
- Word.zip.sCR
□ 감염 시 증상
㉠ 매월 3일이 되면, 아래 확장자를 가지는 모든 파일 내용을 32byte 길이의
" DATA Error [47 0F 94 93 F4 F5] " 내용으로 덮어써 기존 데이터가 삭제됨
- 확장자명 : *.ppt, *.doc, *.pdf, *.xls, *.zip, *.rar, *.mdb, *.mde, *.pps, *.psd, *.dmp
㉡ 마우스 및 키보드 사용 장애 발생
㉢ kaspersky, McAfee, TREND MICRO, Symantec 등의 백신 프로그램을 종료하고 삭제시킴
□ 감염 / 피해 예방 방법
▶ 감염 여부 확인
웜 감염 의심 시, 아래와 같은 방법으로 감염 여부를 확인.
① 시작 → 실행을 클릭
② 레지스트리 편집기를 실행
③ HKEY_LOCAL_MACHINE → SOFTWARE → Microsoft → Windows → CurrentVersion → Run 위치에 ScanRegistry = "scanregw.exe /scan" 가 존재하는지 확인함. 해당 레지스트리가 존재하면 감염된 것임
▶ 감염 예방 위한 주의 및 대응 조치
- 확인 되지 않은 메일 수신 시 메일 첨부 파일을 열어 보지 않음
※ "웜이 발송하는 악성 메일 유형" 부분 참조
- 윈도우즈 OS 암호를 추측하기 어렵게 설정함
암호를 설정하는 방법
☞ 윈도우 XP의 경우
① 시작 → 제어판 선택
② 제어판에서 “사용자계정” 선택
③ “암호 만들기” 선택
☞ 윈도우2K 의 경우
"ctrl" , "Alt" , "Del" 을 동시에 누름. 아래 화면이 나타나면 “암호 변경”을 클릭 후 변경함
- 불필요한 네트워크 공유를 해제하고 필요할 경우는 반드시 암호설정
- 백신을 최신으로 업데이트하고 실시간 감시기능 활성화 및 주기적인 점검
□ 감염 시 치료 방법
o 자동 치료 방법
- 백신프로그램이 설치되어 있을 경우 최신 버전으로 업데이트한 후 점검 실시.
o 수동치료방법
㉠ 윈도우즈를 안전모드로 부팅. 부팅 시 F8을 누른 후 안전 모드 선택
㉡ 웜이 생성한 악성 코드 삭제
- 윈도우 탐색기 → 도구 → 폴더 옵션 → 보기 에서 "보호된 운영 시스템 파일 숨기기" 를 해제 및
"숨김 파일 및 폴더 표시" 에 체크한후 확인을 누른다.
(악성코드 삭제 후에는 원래의 상태로 원복함)
- 웜이 생성한 아래의 파일을 삭제한다.
"시스템 폴더"\scanregw.exe
"시스템 폴더"\Update.exe
"윈도우 폴더"\Rundll16.exe
"시스템드라이브" \WINZIP_TMP.exe
- 또한, 시스템 폴더에 아래 이름의 파일이 존재할 경우 삭제한다.
"시스템 폴더"\SAMPLE.ZIP
"시스템 폴더"\New WinZip File.exe
"시스템 폴더"\sample.zip
"시스템 폴더"\Update.exe
"시스템 폴더"\Winzip.exe
"시스템 폴더"\WINZIP_TMP.EXE
※ "윈도우 폴더":
C:\Windows 또는 C:\Winnt
"시스템 폴더":
Windows 95/98/Me C:\Windows\System
Windows NT/2000 C:\Winnt\System32
Windows XP C:\Windows\System32
"시스템드라이브"
Windows 가 설치되어 있는 드라이브 ex. "c:\" "d:\"
㉢ 웜이 생성한 레지스트리 삭제
"시작" (윈동우 하단 위치) 클릭 → "실행" 클릭 → "regedit" 입력 후 아래의 폴더로 이동
HKEY_LOCAL_MACHINE → SOFTWARE → Microsoft → Windows → CurrentVersion → Run
아래 항목을 선택한 후 마우스 오른쪽 버튼을 눌러 삭제선택
ScanRegistry = "scanregw.exe /scan"
㉣ 시작 → 설정 → 제어판 → 예약된 작업 에서 WINZIP_TMP.exe를 실행시키는 예약 작업은 모두 삭제
㉤ 윈도우즈 재 부팅
참고 문서 : Nyxem(Grew.A)웜 분석보고서
발췌 : 인터넷침해사고대응지원센터