Bagle.69842 웜 분석보고서

자료 : 한국정보보호진흥원(KISA)

 개 요
최근 국내에서 암호가 설정되어 있는 압축파일 형태로 웜이 메일을 통하여 유
포되는 피해가 관찰되었다.
이 웜은 감염 시스템 내에서 txt, htm 등 특정 확장명의 파일들을 검색하여 메
일 주소를 추출하며, 자기확산을 위하여 자신의 복제 파일을 암호가 설정되어
있는 압축파일 형태로 발송한다. 메일 내용에는 암호를 해제하기 위한 내용이
표시되며, 사용자가 첨부파일의 압축을 해제하여 실행할 경우 감염되게 된다.
또한, 감염 후 특정 사이트에 접속하여 추가적인 파일을 다운로드 받으려고 시
도한다. 2006.6.22 현재, 국내 외에서 이 웜이 발송하는 유형의 메일 수신이
다수 발견되고 있으므로 주의할 필요가 있다.
o 관련 포트 트래픽 동향
2006.6.22 현재 국내 TCP 25 포트 (SMTP) 트래픽 추이에 이상징후가 없는
것으로 관찰됨
<2006.6.14 ~ 2006.6.22 TCP 25 포트 트래픽 (bps,pps) 변동 추이>
KrCERT-AR-2006-062 http://www.krcert.or.kr
Bagle.69842 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 2 -
□ 주요 확산 기법
o 확산 방법 및 특이사항
- Bagle.69842는 메일을 발송하여 자신을 전파한다. PC에 저장되어 있는 wab,
txt, msg, htm, shtm, stm, dbx, mbx, mdx, eml, nch, mmf, ods, cfg, asp,
php, pl, wsh, adb, tbb, sht, xls, oft, uin, cgi mht, dhtm, jsp 확장명의 파일
들을 검색하여 메일 주소를 추출한다
메일 발송 시 첨부파일을 암호화 압축한다.
o 웜이 발송하는 메일유형 분석
메일 내용에는 첨부 파일의 압축 해제를 위해 필요한 암호숫자를 알려주는 내
용이 담겨있는데, 웜 제작자는 보안 프로그램에 의해서 자동으로 암호값이 식
별되는 것을 방지하기 위하여 암호숫자 출력을 그림으로 처리하였다
아래 그림은 웜이 발송한 메일내용의 예를 보여준다.
KrCERT-AR-2006-062 http://www.krcert.or.kr
Bagle.69842 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 3 -
Alice / Alyce / Andrew / Androw / Androwe / Annes
Anthonie / Anthony / Anthonye / Avice / Bennet
Bennett / Christean / Christian / Constance
Cybil / Daniel / Danyell / Dorithie / Dorothee
Dorothy / Edmond / Edmonde / Edmund / Edward
Edwarde / Elizabeth / Elizabethe / Ellen / Ellyn
Emanual / Emanuel / Emanuell / Ester / Frances
Francis / Fraunces / Gabriell / Geoffraie / George
Grace / Harry / Harrye / Henrie / Henry / Henrye
Hughe / Humphrey / Humphrie / Isabel / Isabell
James / Jeames / Jeffrey / Jeffrye / Joane / Johen
Josias / Judeth / Judith / Judithe / Katherine
Katheryne / Leonard / Leonarde / Margaret / Margarett
Margerie / Margerye / Margret / Margrett / Marie
Martha / Marye / Michael / Mychaell / Nathaniel
Nathaniell / Nathanyell / Nicholas / Nicholaus
Nycholas / Peter / Ralph / Rebecka / Richard
Richarde / Robert / Roberte / Roger / Rycharde
Samuell / Sidney / Sindony / Stephen / Susan
Susanna / Suzanna / Sybell / Sybyll / Syndony
Thomas / Valentyne / William / Winifred
Wynefrede / Wynefreed / Wynnefreede
<메일 유형 예1> <메일 유형 예1>
메일 유형은 웜 코드내에 다음과 같이 하드코딩 되어 있다
아래와 같은 메일을 수신할 경우, 첨부파일을 실행시키지 않도록 주의한다.
- 메일 제목: 아래 중 하나
KrCERT-AR-2006-062 http://www.krcert.or.kr
Bagle.69842 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 4 -
Alice.zip / Alyce.zip / Andrew.zip / Androw.zip
Androwe.zip / Annes.zip / Anthonie.zip / Anthony.zip
Anthonye.zip / Avice.zip / Bennet.zip / Bennett.zip
Christean.zip / Christian.zip / Constance.zip
Cybil.zip / Daniel.zip / Danyell.zip / Dorithie.zip
Dorothee.zip / Dorothy.zip / Edmond.zip / Edmonde.zip
Edmund.zip / Edward.zip / Edwarde.zip / Elizabeth.zip
Elizabethe.zip / Ellen.zip / Ellyn.zip / Emanual.zip
Emanuel.zip / Emanuell.zip / Ester.zip / Frances.zip
Francis.zip / Francis.zip / Fraunces.zip / Gabriell.zip
Geoffraie.zip / George.zip / Grace.zip / Harry.zip
Harrye.zip / Henrie.zip / Henry.zip / Henrye.zip
Hughe.zip / Humphrey.zip / Humphrie.zip / Isabel.zip
Isabell.zip / James.zip / James.zip / Jeames.zip
Jeffrey.zip / Jeffrye.zip / Joane.zip / Johen.zip
Josias.zip / Judeth.zip / Judith.zip / Judithe.zip
Katherine.zip/ Katheryne.zip / Leonard.zip / Leonarde.zip
Margaret.zip / Margarett.zip / Margerie.zip / Margerye.zip
Margret.zip / Margrett.zip / Marie.zip / Martha.zip
Marye.zip / Michael.zip / Mychaell.zip / Nathaniel.zip
Nathaniell.zip / Nathanyell.zip / Nicholas.zip
Nicholaus.zip / Nycholas.zip / Peter.zip / Ralph.zip
Rebecka.zip / Richard.zip / Richarde.zip / Robert.zip
Roberte.zip / Roger.zip / Rycharde.zip / Samuell.zip
Sidney.zip / Sindony.zip / Stephen.zip / Susan.zip
Susanna.zip / Suzanna.zip / Sybell.zip / Sybyll.zip
Syndony.zip / Thomas.zip / Valentyne.zip / William.zip
Winifred.zip / Wynefrede.zip / Wynefreed.zip
/ Wynnefreede.zip
o 메일 첨부명: 아래의 이름 중 하나
KrCERT-AR-2006-062 http://www.krcert.or.kr
Bagle.69842 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 5 -
- 메일 내용:
메일내용 관련하여 웜 코드 내에 아래와 같은 형식이 정의되어 있다.
아래 형식은 "To the beloved" , " I love you" 문자열과 조합되어 출력된다.
유형1.
<br>The password is <img src="cid :%s%s><br>
유형2.
<br>Password -- <img src ="cid: %s.%s"><br>
유형3.
<br> Use password <img src="%s.%s"> to open archive. <br>
유형4.
<br> Zip password: <img src="cid : %s.%s><br>
KrCERT-AR-2006-062 http://www.krcert.or.kr
Bagle.69842 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 6 -
유형5.
<br> archive password: <img src="cid:%s.%s><br>
유형6.
<br>Password - <img src ="cid: %s.%s"><br>
유형7.
<br>Password : <img src ="cid: %s.%s"><br>
* <br>는 html 줄바꿈 태그임.
< img> 는 그림파일을 브라우져에 출력해주는 이미지 태크로써
%s.%s 부분에 숫자가 그려진 이미지 파일명이 삽입되어 사용자 화면에는
위와 같이 숫자 그림이 출력됨.
※ 참고:
악성코드는 공격 대상 메일 중 아래 문자열이 포함되어 있는지 여부를 확인하
여 공격 대상에서 제외시킨다.
KrCERT-AR-2006-062 http://www.krcert.or.kr
Bagle.69842 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 7 -
“@.” , “.@” , “..” , “rating@” , “f-secur” , “news” , “update” , “anyone@”
“bugs@” , “contract@” , “feste@” , “gold-certs@” , “help@” , “info@”
“nobody@” , “noone@” , “ksap” , “admin” , “icrosoft” , “support” , “ntivi”
“unix” , “bsd” , “linux” , “listserv” , “certific” “sopho” , “@foo” , “@iana”
“free-av” , “@messagelab” , “winzip” , “google” , “winrar” , “samples”
“abuse” , “panda” , “cafee” , “spam” , “pgp” , “@avp” , “noreply”
“local” , “root@” , “postmaster@”
<메일 주소에 특정 문자열이 있는지 여부를 확인>
□ 감염 시 증상
▶ 감염 후 주요 증상
- 감염 시 화면에 Error 라는 그림이 출력.
- smtp.google.com TCP 25 포트로 접속 시도.
- 특정 사이트에 접속하여 악성코드로 추정되는 파일(777.gif)을
다운로드 받아 실행.
- 특정 사이트에 접속 및 수신된 데이터를 elist.xpt 이름으로 저장.
- c:Documents and SettingswinxpApplication datahidn
폴더에 hidn.exe 및 m_hook.sys 악성파일 생성/저장.
- 안전모드로 부팅이 불가능하도록 레지스트리 삭제.
재부팅 시 자동로딩 위한 레지스트리 추가
- 일부 보안 관련 프로그램을 종료시킴
KrCERT-AR-2006-062 http://www.krcert.or.kr
Bagle.69842 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
- 8 -
▶ 상세
- 감염 시 c: 폴더에 error.gif 그림파일이 열린다.
- smtp.google.com에 TCP 25 포트로 접속을 시도한다.
2006.6.22 현재, 접속 후 특별한 행위는 관찰되지 않고 있다.
- 특정 사이트에 접속하여 777.gif 파일 다운로드를 시도한다. 다운로드 한
파일은 시스템 폴더에 re_file.exe 이름으로 저장된 후 실행된다.
※ 777.jpg 는 악성코드 인 것으로 추정되나, 테스트 시간대에는 파일 다운로드가 관찰
되지 않아 확인이 불가능하였다.
KrCERT-AR-2006-062 http://www.krcert.or.kr
Bagle.69842 웜 분석보고서 cert@krcert.or.kr