Stration 웜 분석

자료 : 한국정보보호진흥원(KISA)

1. 개요
Stration.139102는 메일첨부를 통하여 전파되는 전형적인 메일 웜이다. 웜은 다른 시
스템을 감염시키기 위하여 시스템 내부 파일로부터 메일주소를 추출한 후 해당 주소
로 웜 파일을 첨부하여 메일을 발송한다. 최근 국내에서 변종이 다수 발견되었으며
감염피해가 일부 보고되었으므로 주의할 필요가 있다.
o 다른이름: Warezov, MULDROP
o 관련 포트 트래픽 동향
※ 2006. 9. 국내 TCP 25 포트(SMTP) 트래픽 추이에는 큰 특이사항이 없는 것으로 관찰됨
(그림1) 2006년 9월 TCP 25 포트 트래픽 (bps, pps) 변동추이
2. 감염 시스템 및 전파 방법
o 대상OS: Windows 9X, ME, 2000, NT, XP, 2003
o 전파방법:
- 메일 첨부 통한 악성 코드 전파
KrCERT-AR-2006-087 http://www.krcert.or.kr
Stration 웜/바이러스 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
- 3 -
3. 주요 공격 및 전파 기법
o 공격 절차
- Stration 웜은 메일을 발송하여 자신을 전파한다. 메일 발송 시 웜 자신을 파일로
첨부하며, 메일의 본문에는 사용자가 해당 첨부파일을 클릭 하도록 유도하는 내용
이 담겨져 있다. 메일 공격 대상 주소는 PC 내에 저장되어 있는 파일들로 부터 추
출한다.
Step 1. 감염된 PC의 웜이 PC내의 파일로부터 메일 주소를 추출한다
Step 2. 추출된 주소로 메일을 발송한다.
o 메일 형식
사용자가 웜이 발송한 메일의 첨부파일을 부주의 하게 실행하였을 경우 감염되게 된다.
웜이 발송하는 메일 형식은 아래와 같다.
* 제목, 내용, 첨부 파일 명의 예는 아래와 같다. 아래내용은 감염PC의 웜이 발송하
는 메일 패킷을 재조합 하여 outlook 으로 확인한 결과이다.
※ 아래 외에 추가적인 유형이 있을 수도 있다.
(그림2) 유형 예1 (그림3) 유형 예2
(그림4) 유형 예3
KrCERT-AR-2006-087 http://www.krcert.or.kr
Stration 웜/바이러스 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
- 4 -
(그림5) 유형 예4
관찰된 메일 형태를 정리해 보면 다음과 같다.
o 메일 제목 : 다음 내용 중 하나가 선택된다.
- Error
- test
- Mail server report
- hello
- Status
- Server Report
- picture
- Good day
- Mail Transaxtion Failed
o 메일 내용
Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent
as a binary attachment
KrCERT-AR-2006-087 http://www.krcert.or.kr
Stration 웜/바이러스 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
- 5 -
Mail server report.
Our firewall determined the e-mails containing worm copies are being sent from
your computer.
Nowadays it happens from many computers, because this is a new virus type
(Network Worms).
Using the new bug in the Windows, these viruses infect the computer
unnoticeably.
After the penetrating into the computer the virus harvests all the e-mail addresses
and sends the copies of itself to these e-mail addresses
Please install updates for worm elimination and your computer restoring.
Best regards,
Customers support service
o 메일 첨부 (크기 139,102 byte)
- doc.dat.scr
- file.dat.exe
- docs.elm.exe
- docs.log.exe
- readme.msg.scr
- Update-KB5406-x86.exe
4. OS 피해 내용
o 악성 파일 생성
아래와 같은 파일이 생성되는 것으로 관찰되었다.
- 윈도우 시스템 폴더에 “msji449c14b7.dll“, “cmut449c14b7.dll", "e1.dll"
“hpzl449c14b7.exe" 생성
- 윈도우 폴더에 “tserv.dll", “tserv.exe", "tserv.s" 생성
※ 윈도우 폴더 WinNT,2000 c:winnt
WnXP c:Windows
KrCERT-AR-2006-087 http://www.krcert.or.kr
Stration 웜/바이러스 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
- 6 -
- 레지스트리 변경/추가 발생
웜은 재 부팅 시에도 계속적으로 활동하기 위하여 레지스트리에 자신을 등록해
놓는다. 등록되는 레지스트리는 다음과 같이 확인되었다
[HKEY_LOCAL_MACHINE]
[SOFTWARE]
[Microsoft]
[Windows]
[CurrentVersion]
[Run] tserv C:WINNT serv.exe s
[HKEY_LOCAL_MACHINE]
[SOFTWARE]
[Microsoft]
[Windows NT]
[CurrentVersion]
[Windows]
AppInit_DLLs msji449c14b7.dll e1.dll
KrCERT-AR-2006-087 http://www.krcert.or.kr
Stration 웜/바이러스 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
- 7 -
(그림6) 악성코드에 의하여 생성된 레지스트리 예
(그림7) 악성코드에 의하여 생성된 레지스트리 예
5. 감염 후 특이사항
o 첨부 파일이 실행되면 아래와 같은 메세지가 출력된다. 이 에러 매세지는 웜 감염
을 의심하지 못하도록 하기 위한 것으로 보인다.
(그림8) 에러 메세지 출력 예
KrCERT-AR-2006-087 http://www.krcert.or.kr
Stration 웜/바이러스 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
- 8 -
6. 네트워크에 미치는 영향
o 감염 후 메일 발송 빈도 및 발생 트래픽은 아래와 같다.
[표] 분당 악성메일 발송빈도 및 발생 트래픽
항 목 Stration.139102 Sober.55390 Ratios.27136 Bagle.AM
분당 메일 공격 빈도 37 회 31 회 13 회 62회
메일 1건의 크기
(웜본체+전송Overhead) 208,381Bytes 83,751 Byte 45,470 Byte 37,591 Byte
분당 최대 발생 트래픽
(35회 모두 전송 성공 시)
7,710,097 Byte
(208,381 X 37)
2,596,281 Byte
(83,751 X 31)
591,110 Byte
(45,470 X 13)
2,330,642 Byte
(37,591ByteX62회)
☞ 메일 발생 빈도 예
아래 화면은 감염 PC에서 메일서버로 전송되는 SMTP 트래픽 중 웜 전송을 시도하는 횟
수를 추출한 결과임. 1분당 37회 정도로 관찰됨.
(그림9) 메일발생 빈도
☞ 웜 1회 전송 시 발생 트래픽 예
표시된 “208,381”은 웜 메일 전송 (SMTP) 1회 성공 시 발생하는 데이터 크기이다
(그림10) 악성메일 1회 전송 크기 예
o 타 웜과의 공격력 비교
KrCERT-AR-2006-087 http://www.krcert.or.kr
Stration 웜/바이러스 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
- 9 -
7. 위험 요소 및 향후전망
o Stration 웜은 국내 일부지역에서 감염피해가 보고되었으며 변종이 계속적으로 출현
하고 있으므로 감염피해를 입지 않도록 주의할 필요가 있다.
※ Stration 웜은 8월말부터 현재까지 20개 이상의 변종이 확인됨.
8. 예방 및 대응 방안
o 네트워크 관리자
- 바이러스 월의 패턴을 최신으로 업데이트 하도록 한다.
o 사용자
- 확인되지 않은 메일의 첨부 파일은 실행시키지 않는다
- 백신을 최신으로 업데이트 및 실시간 감시 기능을 활성화 한다
9. 감염 시 치료 방법
웜에 감염 시에는 아래와 같은 방법으로 치료하도록 한다.
Step1. 악성코드가 생성한 레지스트리를 삭제한다.
[HKEY_LOCAL_MACHINE][SYSTEM][SOFTWARE][Microsoft]
[Windows][CurrentVersion][Run]
tserv C:WINNT serv.exe s
(그림11) 레지스트리 삭제 예
KrCERT-AR-2006-087 http://www.krcert.or.kr
Stration 웜/바이러스 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
- 10 -
[HKEY_LOCAL_MACHINE][SYSTEM][SOFTWARE][Microsoft]
[Windows NT][CurrentVersion][Windows] 의
AppInit_DLLs msji449c14b7.dll e1.dll 삭제
(그림12) 레지스트리 삭제 예
Step2. 재 부팅 한다.
Step3. 악성코드가 생성한 파일을 삭제한다.
- “도구” → “폴더옵션” → “ 보기” 의
“보호된 운영 시스템 파일 숨기기”의 체크를 해제하며, 숨김파일 및 폴더
표시에 체크한다. (치료 후에는 해당 설정을 원복 함)
(그림13)설정 예
KrCERT-AR-2006-087 http://www.krcert.or.kr
Stration 웜/바이러스 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
- 11 -
- 악성코드가 윈도우 시스템 폴더에 생성한
“msji449c14b7.dll“, “cmut449c14b7.dll", "e1.dll", ” hpzl449c14b7.exe“를 삭
제한다.
(그림14) 파일삭제 예
- 악성코드가 윈도우 폴더에 생성한 “tserv.dll", “tserv.exe" , "tserv.s" 파
일을 삭제한다.
(그림15) 파일삭제 예