MS08-067 취약점을 이용하여 자신을 전파 하였던 콘피커 웜[1](Win32/Conficker.wom: 이하 콘피커 웜이라고 표기)의 새로운 변형이 발견되었다. 이번 변형은 자신을 전파하는 방법을 다양하게 가지고 있는 것이 특징이며, 국내에 많은 시스템을 감염시켰다. 또한 이스라엘의 가자 지구 침공과 관련한 이슈를 포함한 메일을 전송하여 사용자들로 하여금 감염을 유도하는 형태의 악성코드가 발견되었다. 그리고 기존의 Win32/Zhelatin.worm 처럼 국제적인 정치, 사회적인 이슈를 이용하여 자신을 유포 중인 Win32/Waledac.worm 변형도 증가하였다.
(1) 콘피커 웜 변형 출현
이슈가 종료된 것으로 판단되었던 MS08-067 취약점을 이용한 콘피커 웜 변형이 새롭게 발견되었다. 특히 이 변형은 자신을 전파하기 위해 다음과 같은 다양한 방법을 사용하고 있다.
다른 특징으로 DNS 쿼리 관련 함수를 조작하여 백신[2](Anti-virus, Anti-spyware : 이하 백신으로 표기) 업체와 같은 특정 도메인에 대한 접근을 차단하기도 하였다. 이런 경우 엔진 업데이트 그리고 해당 홈페이지 등에 접속할 수 없게 되어, 사용자들이 콘피커 웜을 진단하는 엔진을 다운받거나 정보를 확인하기는 것을 방해한다. 콘피커 웜 관련 자세한 내용은 이번 호 컬럼에서 소개되니 해당 부분을 참고 바란다.
(2) 이스라엘 가자 지구 침공 관련 악성코드
이스라엘의 가자지구 침공과 관련하여 이와 비슷한 유형의 악성코드가 증가 하였다. 이처럼 국제적인 이슈를 이용하여 메일로 유포하는 사회공학적 기법이 오래 전부터 악성코드 배포방법으로 사용되어 왔다. 이번에 메일로 유포되었던 Win-Trojan/Downloader.9790 악성코드의 유포 메일 중 하나는 다음과 같다.
[그림 1-1] 이스라엘의 가지지구 침공 관련 악성코드
해당 파일을 실행하면 ‘servicepack1.exe’라는 파일명을 가진 악성코드를 다운로드 받는다. 해당 파일을 실행하면 자신을 은폐시키고 인터넷 익스플로러, FTP, P0P3 에 대한 사용자 계정과 비밀번호를 획득하려고 한다.
(3) Win32/Waledac.worm과 사회적인 이슈들
[그림 1-2] Waledac.worm 관련 가짜 웹 페이지
파일을 실행한 경우 특이하게 로컬 드라이브에는 자신의 복사본을 생성하지 않는다. 바이너리 내부를 보면 특정 웹 서버로 접속을 시도하는 내용과, RSA 인증 관련 내용이 존재한다. 이러한 내용들은 P2P 웜 처럼 감염된 다른 시스템과 통신을 위해서 사용되는 것으로 보인다. 이 웜 역시 다른 이메일 웜처럼 내부에는 특정 파일 확장자로부터 메일주소를 수집하는 기능이 있다. 이는 자신이 업로드 되어 있는 URL을 전송하기 위한 수신자 메일주소를 수집하기 위한 목적이다.
Win32/Waledac.worm은 Win32/Zhelatin.worm 처럼 사회적인 이슈를 가지고 자신을 전파 하지만 실행 후 증상이나 자신의 암호화된 코드를 풀어내는 방법은 Win32/Zhelatin.worm과 비교하면 다른 형태를 가지고 있다. 그러나 이 악성코드 역시 조직적으로 만들어지고 유포되는 것으로 보여 Win32/Zhelatin.worm 처럼 올 한 해 많은 변형으로 큰 피해를 줄 가능성이 높다.
'Diary > Diary' 카테고리의 다른 글
| 선택의 스트레스를 줄이는 방법 (0) | 2009.03.02 |
|---|---|
| 당신의 기분 이해하기 (0) | 2009.02.27 |
| 분노에 대해 알아야 할 10가지 (0) | 2009.02.26 |
| 부자들의 '돈'에 대한 심리 (0) | 2009.02.24 |
| 스트레스 관리법 (0) | 2009.02.22 |