강좌

HOME > 강좌 >
강좌| 리눅스 및 오픈소스에 관련된 강좌를 보실 수 있습니다.
 
Melissa macro virus 분석 보고서
조회 : 2,606  


Melissa macro virus 분석 보고서

1999. 4.

이현우, 정윤종/CERTCC-KR, 한국정보보호센터, lotus, terry@{certcc,kisa}.or.kr

안철수바이러스연구소, http://www.ahnlab.com

(주)하우리, http://www.hauri.co.kr

1. 개요

멜리사 매크로 바이러스는 마이크로소프트 워드 프로그램의 매크로 기능을 이용한 바이러스의 일종으로 인터넷 전자우편을 통해 감염이 확산되는 바이러스이다. 인터넷 전자우편을 매개체로 사용함으로써 바이러스의 확산속도는 단기간동안 전세계적으로 10만대 이상의 컴퓨터가 감염되었다. 이 멜리사 바이러스에 의해 마이크로소프트사는 전자우편 서비스의 사용을 일시 중단하였고 미국의 노스다코다 주 정부 컴퓨터가 중단되어 주 정부 기능의 상당부분이 마비되는등 피해가 속출하였다.

이와같은 유사한 형태의 변종 바이러스가 새로운 개발되어 유포될것으로 예상되며 현재에도 몇종의 변종 바이러스가 개발되어 유포되고 있는 상황이다.

2. 발생 및 피해현황

가. 발생

유럽에서 만들어진 것으로 알려진 멜리사 매크로 바이러스는 지난 3월 29일을 기준으로 전세계 10만대 이상의 컴퓨터를 감염시킨 놀라운 감염속도를 보이고 있다. 이 멜리사 바이러스에 의해 마이크로소프트사는 전자우편 서비스의 사용을 일시 중단하였고 미국의 노스다코다 주 정부 컴퓨터가 중단되어 주 정부 기능의 상당부분이 마비되는등 피해가 속출하였다.

국내에서는 3월29일 처음 발견되었으며 국내 바이러스 백신 개발업체에 의해 백신 프로그램이 개발되었다.

현재까지 멜리사 바이러스에 의한 피해로는 메일서버의 과부하로 인한 시스템 다운, 네워크 차단 그리고 기밀문서의외부 유풀등이 보고되었다.

나. 피해현황

○ 국외현황 : 총 28건

FIRST 회원 팀들의 Melissa와 관련된 FIRST 회원 팀들의 사고 접수 및 대응 현황

- 미국(16) : 대학(7건), 기업(6건), 정부(3건)

- 기타(12) : 기업(2건), 연구기관(9건), 대학(1건)

※ FIRST TC 컨퍼런스 발표 내용

○ 국내 현황

구 분

안철수바이러스

(주)하우리

멜리사 메시지 확인

2

3

멜리사 메시지 재전송

2

2

문서작성중 임의문자삽입

8

-

합 계

12

5


다. 언론도보 내용

○ KBS

미국의 수백개 기업, 10만여대의 개인 컴퓨터 감염

미 노스타코다주 주정보기능 마비

○ 연합통신

미국 10만여대 컴퓨터 감염으로 추산, 일부회사 메일시스템 폐쇄조치

대규모 기업을 포함한 200개 이상의 회사 피해 보고

멜리사 변종 바이러스 "파파(papa)" 바이러스 발견

50-60여개 시스템 마비

○ 조선일보

CNN방송을 인용하여 50여만대 시스템, 100여개 사이트 감염

※ 국내 대다수의 일간지에서 보도되었음.

3. Melissa 매크로 바이러스 대책

가. Melissa 매크로 바이러스 증상

보고된 대부분의 메일 Subject 라인과 본문에 다음과 같은 메시지가 나타난다.

Subject: Important Message From <사용자이름>

Here is that document you asked for ... don't show anyone else ;-)

그리고 감염된 워드 파일은 첨부 형태로 메일에 포함되는데 처음 유포된 파일이름은 "list.doc"이었으나, 바이러스가 전파되면서 파일 이름이 바뀔 수도 있다. 또한 날짜와 분이 같아지는 시간에 현재 작업중인 문서에 다음과 같은 메시지가 추가된다.

"Twenty-two points, plus triple-word-score, plus fifty points for using all my letters. Game's over. I'm outta here."

나. Melissa 바이러스 변종

Melissa 바이러스가 등장하고 소스가 공개됨에 따라 벌써 그와 유사한 형태의 바이러스들이 등장하고 있다.

○ Papa

엑셀97에 감염되는 바이러스로 메일의 제목과 본문 내용, 그리고 첨부파일은 다음과 같다.

제목 : Fwd: Workbook from all.net and Fred Cohen

내용 : Urgent info inside. Disregard macro warning.

첨부파일 : PASS.XLS

PASS.XLS 파일 내용 :


○ Syndicate

워드에 감염되는 바이러스로 메일의 제목과 본문 내용, 그리고 첨부파일은 다음과 같으며, 70개의 메일을 전송한다.

제목 : Fun and Games From

내용 : Hi Check out. this neat doc I found on the internet!

첨부파일 : doc 파일

○ Mad Cow

워드에 감염되는 바이러스로 메일의 제목과 본문 내용, 그리고 첨부파일은 다음과 같으며, Melissa보다 탐지하기가 더 어려운 "class-virus"로 알려져 있다.

제목 : Mad cow joke

내용 : beware of the speed of the Mad cow

첨부파일 : madcow.doc

○ 기타 발견된 Melissa 변종 바이러스

- Papa B

- Melissa.a

- W97M/Melissa.B

- W97M/Ping.A

- W97M/Zerg.A

다. Melissa 바이러스 예방 및 치료 방법

○ Melissa 바이러스의 탐지

일반 백신 프로그램이 없는 경우 다음과 같은 방법으로 Melissa 바이러스를 탐지할 수 있다. 하지만 완전히 치료하기 위해서는 최신 엔진을 탑재한 백신 프로그램이 필요하다.

ZDNET과 PCWeek에서 제공하는 ByeMelissa를 아래 사이트에서 다운로드 받아 실행하면 "ByeMelissa.doc"이란 파일을 열게되는데 이때 "매크로 해제"를 선택하여 매크로가 실행되도록 하면 Melissa 바이러스 감염여부를 알려주게 된다.

http://www.cyberzone-inc.com/alerts/melissa.shtml

○ 매크로 보안 설정을 통한 예방

마이크로소프트 워드 프로그램에 매크로 바이러스 보호 기능이 있으므로 이를 적절하게 설정하여 매크로가 실행되지 않도록 주의하여야 한다.

- 워드 97 : Tools/Options/General에서 'Macro virus protection' 선택

※ "도구/옵션/일반"메뉴에서 "매크로바이러스보호" 선택

- 워드 2000 : Tools/Macro/Security에서 'Medium' 선택

상위처럼 설정을 하게될 경우 매크로가 포함된 문서를 열 경우 다음과 같은 창이 나타나고 사용자가 매크로 실행여부를 선택할 수 있게 된다. 여기서 사용자는 "매크로 해제"를 선택하여 매크로가 실행되지 않도록 하면 된다.


일반 사용자의 경우 매크로를 거의 사용하지 않으므로 매크로를 실행시킬 이유가 없다. 또한 출처가 불확실한 파일에 대해서는 주의하는 자세가 필요하다. 하지만 Melissa 매크로 바이러스는 사용자의 Outlook 메일 주소록을 이용하기 때문에 알고있는 사람으로부터 감염된 메일을 받을 경우가 많아 특히 더 주의하여야 한다. 따라서 상위에서 설명한 바이러스의 특징을 주지하고 있어야 한다.

○ 바이러스 백신을 이용한 바이러스 치료

Melissa 매크로 바이러스에 감염된 파일을 치료하기 위해서는 최신 버전의 백신 프로그램을 설치하거나 기존의 엔진을 업데이트하여야 한다. 다음은 Melissa 매크로 바이러스에 대한 백신을 제공하는 업체이다.

안철수컴퓨터바이러스연구소 : http://www.ahnlab.com (※ 3월 31일짜 엔진)

(주)하우리 : http://www.hauri.co.kr/main.html

○ 메일 서버를 이용한 Melissa 매크로 바이러스 필터링

Sendmail 8.9 버전의 경우 다음과 같은 조치를 하여 Melissa 바이러스가 유입되는 것을 막을 수 있다. 메일 제목과 본문 내용을 필터링하기 때문에 변종 바이러스를 막지는 못하지만 Melissa 바이러스의 급속한 확산을 막을 수 있다. 다음의 내용을 .mc 파일과 .cf 파일에 추가하면 된다

LOCAL_RULESETS

# Kludgey Melissa virus checking routine.

# Just need enough of a pattern to match.

# Instructional note:

# The format for the rule is

# RExactly the thing you want to quote

# No quote marks, no tabs, absolutely nothing in

# parentheses (like this, they're considered comments

# and will be removed before they get to the rules).

# After the exact thing, then a tab, and the $#error.

# Note, the $* matches anything, so it's useful for

# wildcarding. This also scans all messages with

# Subject: headers and invokes a rule, so there is

# a performance hit.

HSubject: $>Check_Subject

D{MPat}Important Message From

D{MMsg}This message may contain the Melissa virus.

SCheck_Subject

R${MPat} $* $#error $: 553 ${MMsg}

RRe: ${MPat} $* $#error $: 553 ${MMsg}


※ "$*"와 "$#"사이는 탭이어야 함

※ .cf 파일만 있는 경우에는 "LOCAL_RULESETS"라인을 생략하고 .cf 파일에 삽입하면 된다.

※ 참조 사이트 : http://www.sendmail.com/blockmelissa.html

4. 기타

4월4일 뉴저지검찰에 의하여 멜리사 바이러스 개발하여 유통시킨 혐의로 데이빗 L 스미스를 체포하였다. 이는 아메리카 온라인의 도움과 전화통화 추적을 통하여 잡을 수 있었다. 스미스씨는 공공통신 방해, 범죄모의, 컴퓨터 서비스 절도, 컴퓨터서비스 불법접근등의 협의로 기소되었으며 뉴저지주법에 따라 최대 40년 징역과 48만 달러의 벌금형이 적용될것으로 알려졌다.

5. 참고자료

http://www.cyberzone-inc.com/alerts/melissa.shtml

http://www.hauri.co.kr/virus/papa.html

http://SecurityPortal.com/coverstory.html

http://www.zdnet.com/zdnn/stories/news/0,4586,2234912,00.html

http://www.zdnet.com/zdnn/stories/news/0,4586,2234564,00.html


[원글링크] : https://www.linux.co.kr/home2/board/subbs/board.php?bo_table=lecture&wr_id=381


이 글을 트위터로 보내기 이 글을 페이스북으로 보내기 이 글을 미투데이로 보내기

 
(주) 수퍼유저