Zasran.49756 웜 분석

자료 : 한국정보보호진흥원(KISA)

개 요
Zasran 웜은 메일 첨부 및 네트워크 취약점을 통하여 전파되는 웜이다. 이
웜은 감염시스템 내에 저장되어 있는 메일주소를 검색하여 대량의 메일을 발
송한다. 메일 내용은 독일어로 쓰여있으며 월드컵 관련 내용으로 되어있다.
또한, 특정 사이트에 접속하여 컴퓨터 OS버전, 업데이트 현황정보 등을 전송
한다. 2006.5.28 현재까지, 국내에서는 큰 피해가 보고되고 있지 않으나, 국외
에서는 일부 피해가 보고되었으므로 주의하도록 한다.
o 관련 포트 트래픽 동향
※ 2006. 5.28 현재 국내 TCP 25 포트(SMTP) 트래픽 추이에 이상 징후가 없는
것으로 관찰됨
<2006. 5. 21 ~ 2006. 5. 28 TCP 25 포트 트래픽 (bps, pps) 변동 추이>
KrCERT-AR-2006-052 http://www.krcert.or.kr
Zasran.49756 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
- 2 -
□ 주요 공격 및 전파 기법
o 공격 절차
- Zasran 웜은 메일을 발송하여 자신을 전파한다. 메일 발송 시 웜 자신을
파일로 첨부하며, 메일의 본문에 사용자가 해당 첨부파일을 클릭 하도록 유
도하는 내용을 담는다. 메일 공격 대상 주소는 PC 내에 저장되어 있는 파
일들로 부터 추출한다. 이 웜은 또한 로컬 네트워크에 존재하는 패치가 안
되어 있는 PC들을 Scan하여 감염시킨다.
o 웜이 발송하는 메일 유형 분석
사용자가 웜이 발송한 메일의 첨부파일을 부주의하게 실행하였을 경우 감염 되
게 된다. 웜이 발송하는 메일 형식의 예는 다음과 같다.
* 첨부 파일 크기: 50,xxx byte ( x는 가변적 )
* 아래 내용은 감염 PC의 웜이 발송시키는 메일 패킷을 재조합하여 outlook
으로 확인한 결과의 예이다.
< 악성 메일 예 >
KrCERT-AR-2006-052 http://www.krcert.or.kr
Zasran.49756 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
- 3 -
- 1000 Euro von der Postbank
- Betrueg bitte deine Frau mit mir!
- Bitte stoppen Sie es
- Bums eine Schwarze und gewinne WM-Karten!
- Bums mein Arsch!
- Das Geld das nicht mir gehoert
- Das Geld das nicht mir gehoertGeld.
- Du bist mein Sexgott!
- Du machst mich so Geil!
- Du Sexgott!
- Es ist ein Missverstaendnis geschehen
- Es leuft mir schon das bein Runter Honey!
- Fasches Bankkonto
- Falscher Adressant
- Falschueberweisung
- Fick mein Po!
- Ficke meine Brust!
- Geld
- Geldueberweisungen
- Ich lauf aus bitte leck mich!
- Ich hab die neuen Fotos Fertig!
- Ich hab ihr
- Ich lauf aus bitte leck mich!
- Ich liebe dih!
- Ich habe Geld von ihren Postbank Konto bekommen
- Ihre Auszahlungen an mich
- Ihr Geld
- Lass dich Umsonst Wixen! Nur ab 18 Jahren!
- Missueberweisungen
- Nimm mich durch mein Schadz!
- Postbank
- Treibs mit einer schlampe!
- Uberweisungen
- Ueberweisung an einen falschen Adressanten
- Umsonst mein Arschficken ab 18 Jahren!
- Warum schicken sie mir Geld?
- Warum schicken sie mir Geld?
테스트에서 확인된 모든 메일 유형을 정리하면 다음과 같다.
아래의 유형과 같은 메일을 수신할 경우 열어 보지 않도록 한다.
☞ 메일 제목: 아래 내용 중 하나
KrCERT-AR-2006-052 http://www.krcert.or.kr
Zasran.49756 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
- 4 -
☞ 메일 내용: “붙임1” 참고
☞ 첨부 파일:
아래 이름의 파일을 첨부하는 것으로 관찰 되었다. 해당 파일은 웜이므로 클
릭하지 않도록 한다.
- Kontoauszug.zip
- sexy.zip
※ 참고: 테스트에서는 관찰되지 않았지만, 위의 파일명 외에 아래와 같은 이름으로도 파일
이 첨부되는 것으로 알려지고 있다.
ihre_akte.zip ,vorladung.zip, anklageschrift.zip, anklage.zip
Anzeige.zip, bescheinigung.zip, beweise.zip, Anklage-Material.zip
IhrEnde.zip, Kopien.zip, mypics.zip, meinbild.zip, ichbingeil.zip
fickmich.zip, meine_moese.zip, bild01.zip, fotze.zip, reklament.zip
free_pics.zip, free_videos.zip, fick_mich.zip, geil.zip, ich_lauf_aus.zip
Rechnung.zip, Abbild-Der-Rechnung.zip, Rechnung-Anhang.zip
Ueberweisung.zip, Postbank-Ueberweisungen.zip, Auszahlungen.zip
Postbank.zip, bank-kontoauszuge.zip, Neuer Ordner.zip, WM-Tickets.zip
WM-Anhang.zip, Anhang.zip, Desktop.zip, Weltmeisterschaft.zip
New Folder.zip, Tickets.zip, archiv.zip, Anhang-Tickets.zip, ihre_akte.rar
vorladung.rar, anklageschrift.rar, anklage.rar, Anzeige.rar, bescheinigung.rar
beweise.rar, Anklage-Material.rar, IhrEnde.rar, Kopien.rar, mypics.rar
meinbild.rar, ichbingeil.rar, fickmich.rar, meine_moese.rar, bild01.rar, fotze.rar
reklament.rar, sexy.rar, free_pics.rar, free_videos.rar, fick_mich.rar, geil.rar
ich_lauf_aus.rar, Rechnung.rar, Kontoauszug.rar, Abbild-Der-Rechnung.rar
Rechnung-Anhang.rar, Ueberweisung.rar, Postbank-Ueberweisungen.rar
Auszahlungen.rar, Postbank.rar, bank-kontoauszuge.rar, Neuer Ordner.rar
WM-Tickets.rar,WM-Anhang.rar, Anhang.rar, Desktop.rar, Weltmeisterschaft.rar
New Folder.rar, Tickets.rar, archiv.rar, Anhang-Tickets.rar
□ OS 변경 사항
o 파일 생성
감염 후, 아래와 같은 파일이 생성되는 것으로 관찰되었다.
․윈도우 시스템 폴더에 "mszsrn32.dll" 를 생성한다.
※ "시스템 폴더":
Windows 95/98/Me C:WindowsSystem
Windows NT/2000 C:WinntSystem32
Windows XP C:WindowsSystem32
KrCERT-AR-2006-052 http://www.krcert.or.kr
Zasran.49756 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
- 5 -
o 레지스트리 변경/추가 발생
웜은 아래의 레지스트리를 생성한다. 이 레지스트리로 인하여 로그인 시 마다
Winlogon 프로세스에 의하여 악성 mszsrn32 .dll가 로딩된다.
HKEY_LOCAL_MACHINESOFTWAREMicrosoft
Windows NTCurrentVersionWinlogonNotifymszsrn32
□ 감염 후 특이 사항
o 외부 사이트 접속
- 감염 시 웜은 Google 사이트에 접속을 시도한다. 접속 후 추가적인 행위가
없는 것으로 보아 단지 감염 PC가 네트워크에 연결되어 있는지 확인하기
위한 것으로 추정된다.
- 또한, 웜은 아래의 특정사이트에 접속하여 OS버전 등의 시스템 정보를
KrCERT-AR-2006-052 http://www.krcert.or.kr
Zasran.49756 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
- 6 -
해당 사이트로 전송하며, 명령도 전달받는 것으로 관찰되었다.
* 접속 사이트 : 7stick.biz
* 해당 사이트에 감염 PC의 OS 종류 서비스팩 설치 정보들을 전송.
* 해당 사이트로부터 아래와 같은 문자열 값을 전달받음. 웜에 명령을
전달하는 것으로 추정됨.
※ 참고: 실제 테스트 중에는 위의 URL만이 관찰되었지만, 동일한
행위를 위하여 아래 사이트에도 접속하는 것으로 알려지고
있다.
http://olania.net
http://olania.com
http://7stick.info
http://brancholania.net
http://brancholania.biz
http://frachetto.com
http://frachetto.info
http://5dime.net
http://monti2.com
KrCERT-AR-2006-052 http://www.krcert.or.kr
Zasran.49756 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
- 7 -
항 목 관찰 결과
공격 주기 감염 후 계속
공격 빈도 271 회 / 분당
공격 범위 로컬네트워크 (감염PC의 주소A.B.C.D 중 D를 순차적으로 증가하며 공격)
□ 공격 빈도 및 네트워크 영향력 분석
o 공격력 및 발생 트래픽
▶ 메일 공격
- 이 웜은 테스트에서 메일 발송 속도가 분당 82회로 타 웜에 비하여 높
은 편으로 관찰되었으나 한차례의 메일 공격 후에는 추가적인 메일공격
이 관찰되지 않았다. (감염 후 3~4시간 관찰 실시). 반복성을 가지고 계
속적으로 공격하는 타 메일 웜들에 비하여, 매일 공격력은 크지 않는 것
으로 보인다.
※ 수치는 시험환경에 따라 달라질 수 있다.
항 목 관찰 결과
메 일 공격 주기 감염 및 부팅 후 1회
공격 빈도 82 회 / 분당
메일 1건의 크기 (웜 본체 + 전송 Overhead) 58,430 Bytes
분당최대발생 트래픽 (82회 모두 전송 성공 시) 4,791,260 Byte (58,430 Byte X 82회)
<분당 메일 공격 시도 횟수 샘플>
아래 화면은 감염PC의 웜이 1분 동안 메일전송을 위하여 메일서버로의 세션 연결
시도 횟수를 확인한 결과이다.
▶ 네트워크 취약점 공격
- 이 웜은 감염 후 TCP 445 포트로 Scan 공격을 계속적으로 시도한다.
공격 범위는 로컬 네트워크로 관찰되었다.
KrCERT-AR-2006-052 http://www.krcert.or.kr
Zasran.49756 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
- 8 -
Zasran 웰치아.B Sasser.A Bobax.C
공격빈도 / 분당 271회 2,400 회 1,000회 5,524회
- 타 네트워크 취약점 웜과의 공격빈도 비교
□ 위험 요소 분석
o 위험 요소
- 공격 메일 문구가 독일어이므로 국내에서는 첨부파일을 클릭하는 사용자
들이 많지는 않을 것으로 예상되며, 공격 빈도도 타 웜에 비하여 높지
않은 것으로 관찰되었으나 국외에서 일부 감염피해가 보고되었으며, 전파
수단으로 메일과 네트워크 취약점을 동시에 이용하는 웜이므로 주의하도
록 한다.
- 기능이 업그레이드 된 변종 출현에 대한 주의가 필요하다.
□ 예방 및 대응 방안
o 네트워크 관리자
- 바이러스 월의 패턴 업데이트 주기가 길게 설정되어 있거나, 수동 설정으
로 되어 있을 경우, 웜/바이러스 메일이 여과 없이 유입될 수 있으므로,
관리자는 반드시 바이러스 월의 패턴 업데이트 여부를 확인한다
KrCERT-AR-2006-052 http://www.krcert.or.kr
Zasran.49756 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
- 9 -
o 사용자
- 확인되지 않은 메일의 첨부 파일은 실행시키지 않는다
- PC 내에 백신이 설치되어 있을 경우 업데이트를 신속히 실시한다
□ 감염 확인 및 치료 방법
o 감염 확인 방법
윈도우 시스템 폴더에 "mszsrn32.dll" 이름의 파일이 존재하는지 확인한다.
해당 파일이 존재한다면 감염된 것으로 보아야 한다.
※ "시스템 폴더":
Windows 95/98/Me C:WindowsSystem
Windows NT/2000 C:WinntSystem32
Windows XP C:WindowsSystem32
o 감염 시 치료 방법
Step1. “시작” → “실행” 클릭 후 regedit 입력하여 레지스트리 편집기를 실
행한다.
KrCERT-AR-2006-052 http://www.krcert.or.kr
Zasran.49756 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
- 10 -
레지스트리 편집기를 통하여
[HKEY_LOCAL_MACHINE][SOFTWARE][Microsoft]
[Windows NT][CurrentVersion][Winlogon][Notify] 에 위치한
"mszsrn32" 폴더를 삭제한다
Step3. 재부팅 한다
Step4. 웜에 의하여 생성된 시스템 폴더내의 "mszsrn32.dll" 파일을 삭제한
다.
※ "시스템 폴더":
Windows 95/98/Me C:WindowsSystem
Windows NT/2000 C:WinntSystem32
Windows XP C:WindowsSystem32
KrCERT-AR-2006-052 http://www.krcert.or.kr
Zasran.49756 웜 분석보고서 cert@krcert.or.kr