japanese site
온라인강좌책메일다운로드동아리쇼핑기술지원기업정보갤러리동영상 블로그
『신개념 4단계 리눅스기술지원 시스템 공개』

※ 『무료 리눅스 배포판 배송서비스』 ※

 
Alman 변종 웜바이러스 분석
조회 : 5,766  


자료 : 한국정보보호진흥원(KISA)


1. 개 요
Alman 바이러스는 국내에서 감염피해가 다수 보고되었다. 여기서는 Alman 바이러스 변종
에 감염될 경우의 악성기능에 대하여 살펴보았다. Alman은 감염된 시스템 내의 실행파일들을
추가로 감염시킨다. 타 시스템 사용자가 감염된 실행파일들을 감염여부를 확인하지 않고 복사
하여 사용할 경우 감염되게 된다. 또한, 네트워크 공유폴더와 이동 디스크를 통하여 전파되므
로, 윈도우 암호와 공유폴더 암호를 추측하기 어렵게 설정하고 주기적으로 이동저장 매체에
대한 백신점검을 실시하는 것이 필요하다. 감염 후, 자기 업데이트 기능 및 자기 보호를 위
한 은폐기능, 보안프로그램 종료 기능 등이 확인되었다.
2. 전파방법 / 감염절차
o 전파 방법
악성코드가 실행되면 다음과 같이 자기복제를 시작한다.
. 감염PC내 exe 파일 감염
. 네트워크 공유폴더를 통한 전파
. USB등 이동 매체를 통한 전파
※ 악성코드의 자기복제 기능 상세
▶ exe 파일 감염
* 악성코드는 감염 PC 내의 exe 파일을 찾아 감염시킨다.
이중 특정한 이름을 가진 파일들은 감염시키지 않는다. 감염 제외대상 파일명은 다
음과 같다
(표) 감염 제외 대상 파일 리스트
wooolcfg.exe, woool.exe, ztconfig.exe,
patchupdate.exe, trojankiller.exe, xy2player.exe,
flyff.exe, xy2.exe, au_unins_web.exe
cabal.exe, cabalmain9x.exe, cabalmain.exe,
meteor.exe, patcher.exe, mjonline.exe,
config.exe, zuonline.exe, userpic.exe
main.exe, dk2.exe, autoupdate.exe
dbfsupdate.exe, asktao.exe, sealspeed.exe
xlqy2.exe, game.exe, wb-servi, ce.exe, nbt-drag
onraja2006.exe, dragonraja.exe, mhclient-connect.exe
hs.exe, mts.exe, gc.exe, zfs.exe,neuz.exe
maplestory.exe, nsstarter.exe, nmcosrv.exe,
ca.exe, nmservice.exe, kartrider.exe,
audition.exe, zhengtu.exe
KrCERT-AR-2007 http://www.krcert.or.kr
Alman 변종 웜바이러스 분석 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
(그림) 전체 파일을 검색하여 각 파일마다 이름을 확인
(그림) 감염 제외대상 파일명
또한, 아래와 같은 특정 폴더 내의 파일들은 감염시키지 않는다.
(표) 감염 제외 대상 폴더
QQ
WINNT
WINDOWS
LOCAL SETTINGSTEMP
KrCERT-AR-2007 http://www.krcert.or.kr
Alman 변종 웜바이러스 분석 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
▶ 이동 디스크 통한 전파
드라이브 타입을 체크하여 이동식 디스크일 경우, boot.exe,
autorun.inf 파일을 생성한다.
(그림) 파일생성 루틴
▶ 원격 공유폴더를 통한 전파
☞ 네트워크 공유폴더 및 관리목적 공유폴더를 통하여 원격에 있는 시스템에 대한
감염을 시도한다.
KrCERT-AR-2007 http://www.krcert.or.kr
Alman 변종 웜바이러스 분석 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
i) 원격 시스템 접근 시 Dictionary Attack을 수행하며, 대입되는 암호 리스트는
다음과 같다.
password1, monkey, password, abc123,
qwerty, letmein, root, mypass123, owner
test123, love, admin123, qwer, !@#$%^&*(),
!@#$%^&*(, !@#$, %^&*, !@#$%^&, !@#$%^,
!@#$%, asdfgh, asdf, !@#$, 654321, 123456789,
1234, 5, aaa, 123, 111,1, admin.
(그림) 계정을 통한 공유 접근
(그림) Dictionary 암호 리스트
ii) 암호가 취약할 경우 원격 공유폴더에 접근하여 해당시스템 폴더에 setup.exe 파일
을 생성.
(그림) 원격 시스템 파일생성 루틴
KrCERT-AR-2007 http://www.krcert.or.kr
Alman 변종 웜바이러스 분석 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
※ 생성된 파일은 “DLANX” 이름으로 서비스에 등록하여 실행시킨다.
o 감염 과정 예
iii) Alman에 감염되어 있는 파일을 실행하면, 윈도우폴더에 linkinfo.dll 파일이 생성되며
해당 파일이 explorer 프로세스에 인젝션 된다. 또한, 중복감염을 방지하기 위하여 뮤텍
스를 생성한다.
‣ 생성되는 뮤텍스: "PNP#NETMUTEX#1#DL5"
"__DL5_INF__"
“CORE_DL5_"
(그림) 뮤텍스 생성 루틴 예
KrCERT-AR-2007 http://www.krcert.or.kr
Alman 변종 웜바이러스 분석 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
iv) 아래의 커널파일을 생성함. 악성코드를 은폐하기 위한 커널후킹 기능을 수행.
- 생성 위치 및 파일명:
“시스템폴더”driversRsBoot.sys
"시스템폴더“drivers vmini.sys
"시스템폴더“driversIsDrv118.sys
(그림) 파일생성, 등록루틴 예
3. 악성기능 분석
o 악성코드 업데이트 관리
공격자가 구성해 놓은 특정 웹사이트에 간단한 악성코드 버젼정보, 볼륨정보, IE버젼정보 등
을 전송하고, 업데이트 된 악성코드를 다운로드 받는다.
공격자에게 전송하는 정보유출 형식은 다음과 같다. ( IE버젼정보, 볼륨정보, 백신설치 현황
정보 등)
KrCERT-AR-2007 http://www.krcert.or.kr
Alman 변종 웜바이러스 분석 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
http://info.[생략].com/xxx?action=post&HD=xxxxxxxxxxxxxxxxxxx&OT=2&IV=6.0&AV=0
파라미터 값을 전달 후 해당 사이트로 부터 업데이트된 악성코드를 다운로드 받는다. 해당 파
일은 “윈도우폴더”의 위치에 “AppPatchAcLue.dll“ 파일로 저장되고 실행된다.
- 업데이트 요청 유형 예
http://info.s[생략].com/xxx?action=update&version=%u
(그림) 업데이트 요청 및 파일생성 루틴 예
o 2차 추가 악성코드 설치
Alman는 추가 악성코드를 설치하는 기능을 가지고 있다.
http://k.s[생략]1.com/k.dat로 부터 추가 악성코드 사이트 리스트를 받으며, 해당 사이트로
KrCERT-AR-2007 http://www.krcert.or.kr
Alman 변종 웜바이러스 분석 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
접속하여 악성코드를 다운로드 및 설치한다. 현재는 해당 사이트들이 제거/조치되어 확인이
불가능하였지만, 2차 악성코드는 사용자 정보를 유출시키는 Trojan 계열의 악성코드였을 것
으로 추정된다.
- 접속사이트: http://k.s[생략].com/k.dat
o 자기보호 기능
Alman은 아래와 같은 자기보호 기능을 가지고 있다.
- 일부 보안제품 서비스를 종료시킨다. 종료대상 서비스는 다음과 같다
hooksys, KWatch3.exe, KRegEx, KLPF, NaiAvFilter1
NAVAP, AVGNTMGR, AvgTdi, nod32drv, PavProtect
TMFilter, BDFsDrv, VETFDDNT
o 또한 커널 후킹을 하여 자신을 은폐한다. 자기 은폐를 위하여 후킹되는 대상 API는 다음
과 같다.
- NtDeleteKey
- NtDeleteValueKey
- NtEnumerateKey
- NtLoadDriver
- NtQueryDirectoryFile
- NtSaveKey
- NtClose
KrCERT-AR-2007 http://www.krcert.or.kr
Alman 변종 웜바이러스 분석 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
4. 피해현황 및 위험요소
Alman 바이러스 웜은 국내 외에서 피해 및 영향력이 있었던 악성코드로써 주의가 필요하다.
이번 변종의 경우 업데이트 사이트가 제거/조치되어 기능 업그레이드 위험성은 없으나, 개인
PC내의 많은 실행파일들을 감염시키며, 네트워크 및 이동저장매체를 통하여 전파가 될 수 있
으므로 주의할 필요가 있다.
5. 예방 방법
사용자는 윈도우 암호와 공유폴더 암호를 추측하기 어렵게 설정하며, 백신을 최신 업데이트
하고 실시간 모니터링 기능을 활성화 하므로써 감염을 예방할 수 있다. 이 바이러스는 감염
시 감염PC 내의 많은 exe 파일들에 자신을 삽입시켜 놓으므로, 백신으로 전체 파일시스템에
대하여 점검하여야 한다.

[원글링크] : https://www.linux.co.kr/home2/board/subbs/board.php?bo_table=lecture&wr_id=1542


이 글을 트위터로 보내기 이 글을 페이스북으로 보내기 이 글을 미투데이로 보내기

 
krcert
인터넷 침해사고대응지원센터의
허락하에 본 사이트에서 pdf 파일 형식으로 배포 됩니다.

 
   
 


『신개념 4단계 리눅스기술지원 시스템 공개』

CentOS 리눅스 전문서적 국내최초출시

 
회사소개 | 보도기사 | 채용안내 | 광고안내 | 이용약관 | 개인정보취급방침 | 책임한계와 법적고지 | 불편사항 신고하기 | 사이트맵
ㅇ 서울 : 서울특별시 강남구 노현로79길 66, 402호(역삼동,청송빌딩)  ㅇ 부산 : 부산광역시 해운대구 우동 1470 에이스하이테크21 914호
ㅇ 대표 : 1544-8128 ㅇ부산직통 : 051-744-0077 ㅇ서울직통 : 02-856-0055 ㅇ FAX : 02-6280-2663
ㅇ 사업자번호 : 128-86-68239 ㅇ 통신판매업 신고번호 : 2013-부산금정-0035호 ㅇ 개인정보책임자 : 이재석
ㅇ 상호명 : (주) 수퍼유저 ㅇ 대표자 : 박성수
Copyright ⓒ (주)수퍼유저. All rights reserved.

 아 이 디
 비밀번호
회원 가입 | 비밀번호 찾기

블로그~
 
▷ 해킹보안
PC보안(Windows)
리눅스 보안
해킹/보안 프로그램
네트웍 장비 보안
해커즈랩 문제 분석
개념/기타
ACL(Access Control List)
DoS/DDoS
웜/악성코드
책제목
리눅스서버관리실무바이블v3.0


저자 박성수
페이지수 2,032 pages
펴낸곳(주)수퍼유저

리눅스 서버 구축 및 관리에 필요한 거의 모든 부분과 전반적인 실무 기법들을 다루고 있음
책제목
리눅스보안관리실무(2/E)


저자홍석범
페이지수 820 pages
펴낸곳(주)수퍼유저

리눅스 보안에 관련된 내용을 종합적으로 쓴 책. 저자의 명성 그대로 보안관련의 모든 내용이 그대로 담겨져 있다.