Sober.55390 웜 분석 보고서

KrCERT-AR-2005-117 http://www.krcert.or.kr
Sober.55390 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
Sober.55390 웜 분석 보고서
2005.11.23
인터넷침해사고대응지원센터 (KISC)
※ 본 보고서의 전부나 일부를 인용시 반드시 [자료: 한국정보보호진흥원(KISA)]를 명시하여 주시기 바랍니다.
KrCERT-AR-2005-117 http://www.krcert.or.kr
Sober.55390 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 1 -
□ 개 요
Sober.55390 웜은 메일 첨부를 통하여 확산되는 웜이다. 이 웜은 자신이 첨
부된 메일을 대량으로 발송한다.
이 웜이 발송하는 메일은 영어 및 독일어로 내용이 작성되어, 해당 첨부파일을
클릭하는 사용자들이 많지는 않을 것으로 예상되나, 2005.11.23 18:00 현재 국
외에서 피해 사례가 보고되고 있고, 국내에 유입된 것으로 보고되었으므로 주
의 할 필요가 있다.
o 웜의 국내유입 일시 : 2005년 11월 22일
o 관련 포트 트래픽 동향
※ 국내 주요 ISP의 TCP 25 포트 트래픽에 대한 샘플링 결과 2005. 11.23 현재, 큰 이상 징후가 없
는 것으로 관찰됨
<2005.11.13 ~ 2005.11.23 TCP 25 포트 트래픽 (bps, pps) 변동 추이>
KrCERT-AR-2005-117 http://www.krcert.or.kr
Sober.55390 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 2 -
o 웜 파일명 및 크기, 형태
파일명 파일크기 형태
services.exe 55,390 byte UPX
□ 주요 공격 및 전파 기법
o 공격 절차
- Sober.55390은 메일을 통하여 자신을 확산시킨다. 메일 발송 시 웜 자신을
첨부하며, 메일의 본문에 메일수신자가 해당 첨부파일을 실행하도록 유도하
는 내용을 담는다. 공격 대상 메일 주소는 PC내의 파일들로 부터 추출한다.
o 웜이 발송하는 메일의 유형 분석
웜이 발송하는 메일 형식은 다음과 같이 관찰되었다.
* 첨부 파일 크기: 55,xxx byte ( x는 가변적 )
* 제목, 내용, 첨부 파일 명 예는 아래와 같다. 아래 내용은 감염 PC의 웜이
발송시키는 메일 패킷을 재조합 하여 outlook으로 확인한 결과의 샘플링 예
예이다.
KrCERT-AR-2005-117 http://www.krcert.or.kr
Sober.55390 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 3 -
< 악성 메일 유형 샘플 1 > < 악성 메일 유형 샘플 2 >
< 악성 메일 유형 샘플 3 > < 악성 메일 유형 샘플 4 >
< 악성 메일 유형 샘플 5 > < 악성 메일 유형 샘플 6 >
KrCERT-AR-2005-117 http://www.krcert.or.kr
Sober.55390 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 4 -
< 악성 메일 유형 샘플 7 > < 악성 메일 유형 샘플 8 >
< 악성 메일 유형 샘플 9 >
메일 유형을 요약해 보면 다음과 같다.
☞ 메일 제목: 아래 내용 중 하나
- hi, ive a new mail address
- Paris Hilton & Nicole Richie
- Registration Confirmation
- Your Password
- Mail delivery failed
- Account Information
- smtp mail failed
- SMTP Mail gescheitert
- Mailzustellung wurde unterbrochen
KrCERT-AR-2005-117 http://www.krcert.or.kr
Sober.55390 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 5 -
- Your IP was logged
- Your_IP_was_logged
- You_visit_illegal_websites
- You visit illegal websites
- RTL: Wer wird Millionaer
- Sie besitzen Raubkopien
- Ermittlungsverfahren wurde eingeleitet
☞ 메일 내용: 아래 내용 중 하나
hey its me, my old address dont work at time. i dont know why?!
in the last days ive got some mails. i' think thaz your mails but im not sure!
plz read and check ...
cyaaaaaaa
The Simple Life:
View Paris Hilton & Nicole Richie video clips , pictures & more ;)
Download is free until Jan, 2006!
Please use our Download manager.
Account and Password Information are attached!
***** Go to: http://www.[생략].om
***** Email: postman@[생략]o.net.om
This_is_an_automatically_generated_Delivery_Status_Notification.
SMTP_Error_[]
I'm_afraid_I_wasn't_able_to_deliver_your_message.
This_is_a_permanent_error;_I've_given_up._Sorry_it_didn't_work_out.
The_full_mail-text_and_header_is_attached!
KrCERT-AR-2005-117 http://www.krcert.or.kr
Sober.55390 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 6 -
Ihre Nutzungsdaten wurden erfolgreich geaendert. Details entnehmen Sie bitte
dem Anhang.
Dear Sir/Madam,
we have logged your IP-address on more than 30 illegal Websites.
Important:
Please answer our questions!
The list of questions are attached.
Yours faithfully,
Steven Allison
*** Federal Bureau of Investigation -FBI-
*** 935 Pennsylvania Avenue, NW, Room 3220
*** Washington, DC 20535
*** phone: (202) 324-3000
*** http://www.[생략].net
*** E-Mail: PassAdmin@[생략].net
Glueckwunsch: Bei unserer EMail Auslosung hatten Sie und weitere neun
Kandidaten Glueck.
Sie sitzen demnaechst bei Guenther Jauch im Studio!
Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.
+++ RTL interactive GmbH
+++ Geschaeftsfuehrung: Dr. Constantin Lange
+++ Am Coloneum 1
+++ 50829 Koeln
+++ Fon: +49(0) 221-780 0 oder
+++ Fon: +49 (0) 180 5 44 66 99
KrCERT-AR-2005-117 http://www.krcert.or.kr
Sober.55390 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 7 -
Sehr geehrte Dame, sehr geehrter Herr,
das Herunterladen von Filmen, Software und MP3s ist illegal und somit strafbar.
Wir moechten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter der IP
130.159.194.138 erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel
sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingleitet.
Die Strafanzeige und die Moeglichkeit zur Stellungnahme wird Ihnen in den
naechsten Tagen schriftlich zugestellt.
Aktenzeichen NR.:#8507 (siehe Anhang)
Hochachtungsvoll
i .A. Juergen Stock
--- Bundeskriminalamt BKA
--- Referat LS 2
--- 65173 Wiesbaden
--- Tel.: +49 (0)611 - 55 - 12331 oder
--- Tel.: +49 (0)611 - 55 - 0
☞ 첨부 파일:
아래 이름 중 하나로 파일을 첨부하는 것으로 관찰되었다. 해당 파일은
웜 파일이므로 클릭하지 않도록 한다.
- mailtext.zip
- downloadm.zip
- reg_pass-data.zip
- mail.zip
- netlock-TextInfo.zip
- Email.zip
- mail_body.zip
- Email_text.zip
- list344.zip
- RTL_Text.zip
- question_list653.zip
- Akte[숫자].zip
KrCERT-AR-2005-117 http://www.krcert.or.kr
Sober.55390 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 8 -
□ OS 피해 내용
- 파일 생성
아래와 같은 파일이 생성되는 것으로 관찰되었다.
․윈도우 폴더 내의 WinSecurity 폴더에 아래와 같이 여러개의 파일이 생
성된다. 이 중 smss.exe, services, csrss.exe는 웜 복사본 파일이다.
※ 윈도우 폴더 WinNT,2000 c:winnt
WinXP c:Windows
winmem1.ory, winmem2.ory, winmem3.ory, mssock1.dli, mssock2.dli,
mssock3.dli에는 아래와 같이 메일주소가 저장되는 것으로 확인되었다
KrCERT-AR-2005-117 http://www.krcert.or.kr
Sober.55390 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 9 -
- 레지스트리 변경/추가 발생
웜은 재 부팅 시 다시 실행되기 위하여 레지스트리에 자신을 등록해 놓
는다. 등록되는 레지스트리는 다음과 같이 관찰되었다
[HKEY_LOCAL_MACHINE]
[SOFTWARE]
[Microsoft]
[Windows]
[CurrentVersion]
[Run]
WINDOWS "윈도우폴더“WinSecurityservices.exe
[HKEY_CURRENT_USER]
[SOFTWARE]
[Microsoft]
[Windows]
[CurrentVersion]
[Run]
_Windows "윈도우폴더“WinSecurityservices.exe
□ 감염 후 특이 사항
o 첨부 파일이 실행되면 아래와 같은 에러 메시지가 발생한다. 이 에러 메시
지는 웜 감염을 의심하지 못하도록 하기 위한 것으로 보인다.
KrCERT-AR-2005-117 http://www.krcert.or.kr
Sober.55390 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 10 -
o 또한 웜은 특정 Time Server 로 접속을 시도한다. 테스트 시간대에 관찰
된 접속사이트는 다음과 같다.
※ 아래 예는 단시간의 테스트에서 관찰된 예로써 추가적인 도메인이 있
을 수 있다.
time.nist.gov
FS.ECE.CMU.EDU
ntp-sop.inria.fr
utserv.mcc.ac.uk
ns1.usg.edu
vega.cbk.poznan.pl
verge.greyware.com
india.colorado.edu
otc2.psu.edu
200.254.135.2
213.239.201.102
KrCERT-AR-2005-117 http://www.krcert.or.kr
Sober.55390 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 11 -
o 또한, 이 웜은 2006년 1월 6일이 되면, 아래 사이트에 접속하여 추가적인
악성코드를 다운로드 받게 되어 있으므로 주의가 필요하다.
http://people.freenet.de
http://scifi.pages.at
http://home.pages.at
http://free.pages.at
http://home.arcor.de
□ 메일 공격력 및 네트워크에 미치는 영향
o 메일 공격력 및 발생 트래픽
메일 발생 빈도 및 발생 가능한 트래픽은 아래와 같이 관찰되었다.
항 목 관찰 결과
분당 메일 공격 빈도 31 회
메일 1건의 크기
(웜 본체 + 전송 Overhead) 83,751 Bytes
분당 최대 발생 트래픽
(31회 모두 전송 성공 시)
2,596,281 Byte
(83,751 Byte X 31회)
※ 결과는 시험환경에 따라 달라질 수 있다.
<분당 메일 공격 시도 횟수 샘플>
아래 화면은 감염PC의 웜이 메일전송을 위하여 메일서버로의 세션 연결 시도 횟
수를 확인한 결과이다. 아래 그림은 10분간의 횟수를 나타내므로 1분당 31회 정
도로 볼수 있다
<웜 1회 전송 시 발생 트래픽 샘플>
표시된 “83,751”은 웜 메일 전송 1회 성공 시 발생하는 데이터 크기의 예이다
KrCERT-AR-2005-117 http://www.krcert.or.kr
Sober.55390 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 12 -
o 타 웜과의 공격력 비교
□ 예방 및 대응 방안
공격 메일 문구가 영문 및 독일어 이므로 국내에서는 첨부파일을 클릭하는
사용자들이 많지는 않을 것으로 예상되나, 11/23 18:00 현재 국외에서의 피해
사례가 보고되고 있으므로 주의하도록 한다.
o 네트워크 관리자의 대응
- 바이러스 월의 패턴 업데이트 주기가 길게 설정되어 있거나, 수동 설정으
로 되어 있을 경우, 방어기능을 수행하지 못하고 있을 수 있으므로, 관리
자는 반드시 바이러스 월의 패턴 업데이트 여부를 확인한다
o 일반 사용자의 대응
- 확인되지 않은 메일의 첨부파일은 열어보지 않도록 한다.
- PC 내에 백신이 설치되어 있을 경우 업데이트를 신속히 실시한다
□ 감염 확인 및 치료 방법
o 감염 확인 방법
윈도우 폴더 아래의 “WinSecurity” 폴더에 55,390 크기의 smss.exe, services,
KrCERT-AR-2005-117 http://www.krcert.or.kr
Sober.55390 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 13 -
csrss.exe 파일이 존재하는지 확인한다.
이런 파일이 존재하면 감염된 것으로 볼 수 있다.
※ 윈도우 폴더: WinNT,2000 c:winnt
WinXP c:Windows
o 감염 시 치료 방법
Step1. PC를 안전 모드로 부팅한다. 부팅 시 F8을 누르고 있으면 아래 화면
이 뜨게 된다. 이때 “안전 모드”를 선택한다
Step2. “시작” → “실행” 클릭 후 regedit 입력하여 레지스트리 편집기를 실
행한다.
레지스트리 편집기를 통하여
[HKEY_LOCAL_MACHINE][SOFTWARE][Microsoft][Windows]
[CurrentVersion][Run] 에 위치한
WINDOWS "윈도우폴더“WinSecurityservices.exe 를 삭제한다
KrCERT-AR-2005-117 http://www.krcert.or.kr
Sober.55390 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 14 -
Step3. 웜에 의하여 생성된 윈도우 폴더 아래의 “WinSecurity” 폴더를 삭제
한다.
※ 윈도우 폴더: WinNT,2000 c:winnt
WinXP c:Windows
Step4. PC를 재 부팅 한다. (정상모드로 부팅하기 위해서 부팅 시 F8을 누
르지 않음)
부팅 후, 레지스트리 편집기를 이용하여
[HKEY_CURRENT_USER][SOFTWARE][Microsoft][Windows]
[CurrentVersion][Run] 내의
_Windows "윈도우폴더“WinSecurityservices.exe
를 삭제한다
Step5. PC를 재 부팅 한다.