리눅스 분류
Nopir.156658 웜 분석보고서
작성자 정보
- 웹관리자 작성
- 작성일
컨텐츠 정보
- 5,556 조회
- 0 추천
- 목록
본문
KrCERT-AR-2005--26 http://www.krcert.or.kr
Nopir.156658 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
Nopir.156658 웜 분석 보고서
2005. 4. 24
인터넷침해사고대응지원센터 (KISC)
※ 본 보고서의 전부나 일부를 인용시 반드시 [자료: 한국정보보호진흥원(KISA)]를 명시하여 주시기 바랍니다.
KrCERT-AR-2005--26 http://www.krcert.or.kr
Nopir.156658 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 1 -
□ 개 요
Nopir.156658 는 P2P 프로그램의 파일 공유 기능을 통하여 전파되는 웜 이다.
감염되면 확장명이 com이거나 mp3인 파일을 삭제하는데, 윈도우즈 운영체제의
일부 주요 파일도 함께 지우기 때문에 감염 후에는 시스템의 시작이 불가능해
진다. 따라서 감염에 대한 각별한 주의가 필요하다
감염을 예방하기 위하여 사용자는 “AnyDVD 5.1.0.1 Crack +Keygen By
Razor.exe"라는 파일을 다운로드하거나 실행하지 않아야 한다.
o 웜 파일명 및 크기
파일명 파일크기
Nctrup.exe
AnyDVD 5.1.0.1 Crack+Keygen By Razor.exe
156,658
□ 감염 대상 시스템 및 전파 수단
o 대상 OS : Windows 9X, ME, 2000, NT, XP, 2003
o 전파방법: P2P 파일 공유 기능, 파일다운로드
□ 주요 전파 기법
o 전파 기법
1) P2P 파일 공유 기능 통한 전파
Nopir.156658 웜은 P2P 파일 공유 기능을 통하여 전파된다. 웜은 자신을
유명 프로그램으로 위장하여 P2P로 외부에 공유시키는데, 다른 사용자가 공
유되어 있는 해당 파일을 다운로드하여 실행할 경우 감염되게 된다.
KrCERT-AR-2005--26 http://www.krcert.or.kr
Nopir.156658 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 2 -
□ 감염 후 증상
1. 감염 시 c:Program FilesProjects Visual Studio.NET 폴더가 생성되고
해당 폴더에 웜 파일인 Nctrup.exe가 복사 된다. 또한 아래와 같은 윈
도우가 화면에 뜨게 된다.
2. com 및 mp3 확장명을 가지는 파일을 삭제한다. 시스템 주요 파일이 함께
삭제되어 다음번 부팅 시 부팅이 불가능하게 된다. 실험에 사용된 PC 의
경우 시스템 폴더에서 아래와 같은 파일이 삭제되었다
3. “AnyDVD 5.1.0.1 Crack+Keygen By Razor.exe ” 파일이 P2P 공유폴더인
c:Program FileseMuleincoming에 생성된다. 해당 파일은 웜 파일이다
<감염 후 P2P 공유폴더에 생성된 파일 Sample>
KrCERT-AR-2005--26 http://www.krcert.or.kr
Nopir.156658 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 3 -
4. 레지스트리를 변경 및 추가 하여 시스템 재부팅 시에도 웜을 메모리에 재
로드 되도록 한다.
아래와 같이 레지스트리 값을 추가하여 작업 관리자, 레지스트리 편집
도구, 제어판 기능을 사용할 수 없게 한다.
레지스트리 값을 변경하여 vbs, scr, reg, pif ,exe, com, cmd, bat 종
류의 파일이 실행될 경우 웜 (Nctrup.exe) 파일이 먼저 실행되도록
설정한다. 아래 내용은 실제 감염 시 변경된 레지스트리 값이다.
KrCERT-AR-2005--26 http://www.krcert.or.kr
Nopir.156658 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 4 -
□ 네트워크 발생 트래픽 특이사항
o 웜 감염 후 외부로 공격 및 접속되는 특이 트래픽이 관찰되지 않았다.
□ 위험 요소 분석
o 위험 요소
- 감염 시 주요 시스템 파일이 삭제되기 때문에 감염 후 재 부팅 할 경우
윈도우를 사용할수 없게 된다.
- eMule P2P 프로그램은 한국어 전용 버전 설치가 가능하다. 따라서 국내
많은 이용자가 있을 것으로 추정된다.
- 국내에도 값비싼 DVD를 구매하지 않고 복제하여 사용하려는 사용자가
매우 많으며, 정보공유 사이트를 통하여 활발하게 활동하고 있다.
o 참고 사항
- 감염을 위하여는 사용자가 웜 파일인 “AnyDVD 5.1.0.1 Crack+Keygen By
Razor.exe ”를 P2P를 통하여 다운로드 후 실행 하여야하는 사용자 개입
과정이 필요하다.
□ 향후전망 및 주의사항
o 웜 전파를 위하여 P2P로 공유되는 파일명이 “AnyDVD 5.1.0.1 Crack+Keygen
By Razor.exe ” 로써 일반인들에게는 생소하며, 전파 방법도 P2P로 한정되어
국내에서 크게 확산될 것으로 보이지는 않는다. 그러나 이 프로그램이 P2P가
아닌 다른 정보공유 사이트에 업로드되어 국내의 사용자들이 다운로드 받는
경우가 생길 수 있으므로 주의하여야 한다.
일단 감염된 PC 사용자들은 큰 피해를 입을 것으로 보이므로 각별한 주의
가 필요하다. 또한, 메일 등의 다른 전파기법을 추가하는 변종출현에 대한
주의가 필요하다.
KrCERT-AR-2005--26 http://www.krcert.or.kr
Nopir.156658 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 5 -
□ 예방 및 대응 방안
o P2P 통하여 파일을 Download 및 실행을 할 경우 웜에 감염이 되지 않도
록 각별히 주의하도록 한다.
- 다운로드하는 파일의 사이즈가 156658 Byte 의 exe 파일인 경우, 반드시
백신을 통하여 점검을 한후 사용하도록 한다. 또는 MD5 값을 체크를
통하여 웜 파일 여부를 확인한다.
※ 웜 파일의 MD5 값은 02de133ccab2a676bfdd6ec71edd7c81 이다
- 공유된 파일중 " AnyDVD 5.1.0.1 Crack+Keygen By Razor.exe" 는 웜
파일이므로 다운로드 및 실행하지 않도록 한다.
(웜이 생성하는 이 파일명은 임의의 사용자에 의하여 디른 파일명으로
변경될 수도 있다.)
- AnyDVD 프로그램은 기본적으로 1MB 이상이므로 200KB 미만인
AnyDVD 프로그램은 웜 배포용 파일일 가능성이 높으므로 주의한다.
o 감염된 사용자는 사용중인 P2P 프로그램을 종료시켜 추가적인 전파를 방지
하도록 한다.
Nopir.156658 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
Nopir.156658 웜 분석 보고서
2005. 4. 24
인터넷침해사고대응지원센터 (KISC)
※ 본 보고서의 전부나 일부를 인용시 반드시 [자료: 한국정보보호진흥원(KISA)]를 명시하여 주시기 바랍니다.
KrCERT-AR-2005--26 http://www.krcert.or.kr
Nopir.156658 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 1 -
□ 개 요
Nopir.156658 는 P2P 프로그램의 파일 공유 기능을 통하여 전파되는 웜 이다.
감염되면 확장명이 com이거나 mp3인 파일을 삭제하는데, 윈도우즈 운영체제의
일부 주요 파일도 함께 지우기 때문에 감염 후에는 시스템의 시작이 불가능해
진다. 따라서 감염에 대한 각별한 주의가 필요하다
감염을 예방하기 위하여 사용자는 “AnyDVD 5.1.0.1 Crack +Keygen By
Razor.exe"라는 파일을 다운로드하거나 실행하지 않아야 한다.
o 웜 파일명 및 크기
파일명 파일크기
Nctrup.exe
AnyDVD 5.1.0.1 Crack+Keygen By Razor.exe
156,658
□ 감염 대상 시스템 및 전파 수단
o 대상 OS : Windows 9X, ME, 2000, NT, XP, 2003
o 전파방법: P2P 파일 공유 기능, 파일다운로드
□ 주요 전파 기법
o 전파 기법
1) P2P 파일 공유 기능 통한 전파
Nopir.156658 웜은 P2P 파일 공유 기능을 통하여 전파된다. 웜은 자신을
유명 프로그램으로 위장하여 P2P로 외부에 공유시키는데, 다른 사용자가 공
유되어 있는 해당 파일을 다운로드하여 실행할 경우 감염되게 된다.
KrCERT-AR-2005--26 http://www.krcert.or.kr
Nopir.156658 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 2 -
□ 감염 후 증상
1. 감염 시 c:Program FilesProjects Visual Studio.NET 폴더가 생성되고
해당 폴더에 웜 파일인 Nctrup.exe가 복사 된다. 또한 아래와 같은 윈
도우가 화면에 뜨게 된다.
2. com 및 mp3 확장명을 가지는 파일을 삭제한다. 시스템 주요 파일이 함께
삭제되어 다음번 부팅 시 부팅이 불가능하게 된다. 실험에 사용된 PC 의
경우 시스템 폴더에서 아래와 같은 파일이 삭제되었다
3. “AnyDVD 5.1.0.1 Crack+Keygen By Razor.exe ” 파일이 P2P 공유폴더인
c:Program FileseMuleincoming에 생성된다. 해당 파일은 웜 파일이다
<감염 후 P2P 공유폴더에 생성된 파일 Sample>
KrCERT-AR-2005--26 http://www.krcert.or.kr
Nopir.156658 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 3 -
4. 레지스트리를 변경 및 추가 하여 시스템 재부팅 시에도 웜을 메모리에 재
로드 되도록 한다.
아래와 같이 레지스트리 값을 추가하여 작업 관리자, 레지스트리 편집
도구, 제어판 기능을 사용할 수 없게 한다.
레지스트리 값을 변경하여 vbs, scr, reg, pif ,exe, com, cmd, bat 종
류의 파일이 실행될 경우 웜 (Nctrup.exe) 파일이 먼저 실행되도록
설정한다. 아래 내용은 실제 감염 시 변경된 레지스트리 값이다.
KrCERT-AR-2005--26 http://www.krcert.or.kr
Nopir.156658 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 4 -
□ 네트워크 발생 트래픽 특이사항
o 웜 감염 후 외부로 공격 및 접속되는 특이 트래픽이 관찰되지 않았다.
□ 위험 요소 분석
o 위험 요소
- 감염 시 주요 시스템 파일이 삭제되기 때문에 감염 후 재 부팅 할 경우
윈도우를 사용할수 없게 된다.
- eMule P2P 프로그램은 한국어 전용 버전 설치가 가능하다. 따라서 국내
많은 이용자가 있을 것으로 추정된다.
- 국내에도 값비싼 DVD를 구매하지 않고 복제하여 사용하려는 사용자가
매우 많으며, 정보공유 사이트를 통하여 활발하게 활동하고 있다.
o 참고 사항
- 감염을 위하여는 사용자가 웜 파일인 “AnyDVD 5.1.0.1 Crack+Keygen By
Razor.exe ”를 P2P를 통하여 다운로드 후 실행 하여야하는 사용자 개입
과정이 필요하다.
□ 향후전망 및 주의사항
o 웜 전파를 위하여 P2P로 공유되는 파일명이 “AnyDVD 5.1.0.1 Crack+Keygen
By Razor.exe ” 로써 일반인들에게는 생소하며, 전파 방법도 P2P로 한정되어
국내에서 크게 확산될 것으로 보이지는 않는다. 그러나 이 프로그램이 P2P가
아닌 다른 정보공유 사이트에 업로드되어 국내의 사용자들이 다운로드 받는
경우가 생길 수 있으므로 주의하여야 한다.
일단 감염된 PC 사용자들은 큰 피해를 입을 것으로 보이므로 각별한 주의
가 필요하다. 또한, 메일 등의 다른 전파기법을 추가하는 변종출현에 대한
주의가 필요하다.
KrCERT-AR-2005--26 http://www.krcert.or.kr
Nopir.156658 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 5 -
□ 예방 및 대응 방안
o P2P 통하여 파일을 Download 및 실행을 할 경우 웜에 감염이 되지 않도
록 각별히 주의하도록 한다.
- 다운로드하는 파일의 사이즈가 156658 Byte 의 exe 파일인 경우, 반드시
백신을 통하여 점검을 한후 사용하도록 한다. 또는 MD5 값을 체크를
통하여 웜 파일 여부를 확인한다.
※ 웜 파일의 MD5 값은 02de133ccab2a676bfdd6ec71edd7c81 이다
- 공유된 파일중 " AnyDVD 5.1.0.1 Crack+Keygen By Razor.exe" 는 웜
파일이므로 다운로드 및 실행하지 않도록 한다.
(웜이 생성하는 이 파일명은 임의의 사용자에 의하여 디른 파일명으로
변경될 수도 있다.)
- AnyDVD 프로그램은 기본적으로 1MB 이상이므로 200KB 미만인
AnyDVD 프로그램은 웜 배포용 파일일 가능성이 높으므로 주의한다.
o 감염된 사용자는 사용중인 P2P 프로그램을 종료시켜 추가적인 전파를 방지
하도록 한다.
"무단배포금지: 클라우드포털(www.linux.co.kr)의 모든 강좌는 저작권에 의해 보호되는 콘텐츠입니다. 무단으로 복제하여 배포하는 행위는 금지되어 있습니다."
관련자료
-
이전
-
다음
댓글 0
등록된 댓글이 없습니다.
