Mytob.P 웜 분석 보고서

KrCERT-AR-2005-57 http://www.krcert.or.kr

Mytob.P 웜 분석보고서 cert@krcert.or.kr

____________________________________________________________________________________________

_____________________________________________________________________________________

Mytob.P 웜 분석 보고서

2005. 6. 03

인터넷침해사고대응지원센터 (KISC)

※ 본 보고서의 전부나 일부를 인용시 반드시 [자료: 한국정보보호진흥원(KISA)]를 명시하여 주시기 바랍니다.

KrCERT-AR-2005-57 http://www.krcert.or.kr

Mytob.P 웜 분석보고서 cert@krcert.or.kr

____________________________________________________________________________________________

_____________________________________________________________________________________

- 1 -

□ 개 요

Mytob.P 변종은 메일 첨부를 통하여 전파되는 웜이다. 웜은 자신을 확산

시키기 위하여 대량 메일을 발송한다.

감염 후에 웜은 웜 제작자로 부터 명령을 전달 받기 위하여 특정 IRC 서버로

(irc.blackcarder.net) 접속을 시도한다. 2005.6.3 15:00 현재 IRC 명령에 의하여

감염 후 특정사이트로 부터 추가적으로 악성코드를 다운로드 한다. 웜 제작

자가 의도할 경우 기타 추가적인 악의적인 행위가 가능할 것으로 보인다.

웜은 유명 보안 사이트에 대한 접속을 방해하며, Regedit 및 Task Manger 등

의 시스템 도구의 실행을 불가능하게 하여 대응 조치를 어렵게 한다.

o 관련 포트 트래픽 동향

※ 2005. 6.03 현재 국내 TCP 25 포트(SMTP) 트래픽 추이에 이상 징후가 없는

것으로 관찰됨

<2005.5.27 ~ 2005.6.03 TCP 25 포트 트래픽 (bps, pps) 변동 추이>

KrCERT-AR-2005-57 http://www.krcert.or.kr

Mytob.P 웜 분석보고서 cert@krcert.or.kr

____________________________________________________________________________________________

_____________________________________________________________________________________

- 2 -

o 웜 파일명 및 크기

파일명 파일크기

Lien vd Kelder.exe

www.lienvandekelder.be.exe

61,952 Byte

62,464 Byte

□ 주요 공격 및 전파 기법

Mytob.P는 메일을 발송하여 자신을 전파한다. 메일 발송 시 웜 자신을 파

일로 첨부하며, 메일의 본문에 사용자가 해당 첨부파일을 클릭 하도록 유도하

는 내용을 담는다. 메일 공격 대상 주소는 PC 내에 저장되어 있는 파일들로부

터 추출한다. 또한 감염 후 특정 IRC 서버로의 접속시도가 발생하는데, 해당

서버로부터 명령을 전달 받을 경우 전파 기법이 네트워크 서비스 취약성 등으

로 확대/추가될 가능성이 있다. 테스트 시간대에는 [6/03 10:00 ~15:00] 명령

을 전달받아 특정사이트로 부터 추가적인 악성코드를 다운로딩 하는 것이 관

찰 되었다.

Step 1. 웜은 PC내의 파일들로 부터 메일 주소를 추출한다

Step 2. 추출된 주소로 웜 파일을 첨부하여 메일을 발송한다.

IRC 서버에 접속하여 웜 제작자로부터 명령을 전달 받는다.

o IRC 서버 통한 악성 행위 분석

웜은 감염 후 웜 제작자로부터 명령을 전달받기 위하여 irc.blackcarder.net

서버로 접근을 시도하는 것으로 관찰되었다.

- 감염이 되면 아래와 같이 irc.blackcarder.net 도메인에 대한 DNS 쿼리 후

Resolving된 IP의 tcp 4512번 포트로 연결을 시도한다.

KrCERT-AR-2005-57 http://www.krcert.or.kr

Mytob.P 웜 분석보고서 cert@krcert.or.kr

____________________________________________________________________________________________

_____________________________________________________________________________________

- 3 -

o IRC 서버 접속 후에는 명령을 전달 받는다. 테스트 시간대에는 [2005.6.03

10:00 ~ 15:00] mediatickets.t35.com 사이트에 접속하여 추가적인 악성코드를

다운로드 받도록 하는 명령 전달이 관찰되었다. 아래는 웜 감염 후 에 발생

하는 IRC 서버와의 통신 트래픽을 Capture 하여 분석한 내용이다

- mediatickets.t35.com 사이트에 접속하여 summer2004.gif 파일을 다운로드

받아 C:폴더에 ncsvc32.exe 파일이름으로 저장하도록 명령전달.

- mediatickets.t35.com 사이트에 접속하여 winter2005.gif 파일을 다운로드

받아 C: 폴더에 svchost.exe 파일이름으로 저장하도록 명령 전달.

o 다운로드 되는 위 두개의 파일은 일부백신에서 Win32.HLLM.MyDoom 44,

Trojan.Downloader.1168 로 진단되었다.

o 웜이 발송하는 메일 유형 분석

웜이 발생시키는 메일의 제목, 내용, 첨부 파일 명 및 크기는 디음과 같다. 아

래 내용은 감염 PC의 웜이 발송하는 메일 패킷을 재조합 하여 outlook으로 확

인한 결과이다.

* 첨부 파일 크기: 62,7xx byte (xx는 가변적)

<유형1> <유형2>

KrCERT-AR-2005-57 http://www.krcert.or.kr

Mytob.P 웜 분석보고서 cert@krcert.or.kr

____________________________________________________________________________________________

_____________________________________________________________________________________

- 4 -

<유형3> <유형4>

<유형5> <유형6>

<유형7> <유형8>

<유형9> <유형10>

<유형11> <유형12>

KrCERT-AR-2005-57 http://www.krcert.or.kr

Mytob.P 웜 분석보고서 cert@krcert.or.kr

____________________________________________________________________________________________

_____________________________________________________________________________________

- 5 -

<유형13> <유형14>

확인된 위의 내용을 정리해 보면 다음과 같다.

☞ 메일 제목: 아래 내용 중 하나

. Important Notification

. IMPORTANT NOTIFICATION

. Email Account Suspension

. *WARNING* Your Email Account Will Be Closed

. *WARNING* YOUR EMAIL ACCOUNT WILL BE CLOSED

. *DETECTED* Online User Violation

. *DETECTED* ONLINE USER VIOLATIO

. Notice: **Last Warning**

. Your Email Account is Suspended For Security Reasons

. Account Alert

. ACCOUNT ALERT

. YOUR EMAIL ACCOUNT IS SUSPENDED FOR SECURITY REASONS

. Security measures

. Random 하게 생성 ex. Kwfctunkvy

☞ 메일 내용: 아래 내용 중 하나

. We attached some important information regarding your account.

. The original message has been included as an attachment.

. Please read the attached document and follow it's instructions.

. Once you have completed the form in the attached file , your account

records will not be interrupted and will continue as normal.

. We regret to inform you that your account has been suspended due to the

violation of our site policy, more info is attached

. 깨진 문자

KrCERT-AR-2005-57 http://www.krcert.or.kr

Mytob.P 웜 분석보고서 cert@krcert.or.kr

____________________________________________________________________________________________

_____________________________________________________________________________________

- 6 -

☞ 첨부 파일: 아래 내용 중 하나

. document.zip

. information.zip

. email-info.zip

. instructions.zip

. account-details.zip

. info-text.zip

. email-doc.zip

. INFO.zip

. (Random하게 생성).zip ex. tnkrrhg.zip

□ OS 변경 사항

- 파일 생성

․윈도우시스템 폴더에 Lien vd Kelder.exe, www.lienvandekelder.be.exe

파일이 생성된다.

※ 윈도우 시스템 폴더: WinNT,2000 c:winntsystem32

WinXP c:Windowssystem32

C:WINDOWS

system32

+ Lien vd Kelder.exe 2005-06-03 12:10:22, 61952

+ www.lienvandekelder.be.exe 2005-06-03 12:10:36, 62464

- 레지스트리 변경/추가 발생

웜은 재 부팅 시에도 메모리에 다시 로딩되게 하기 위하여 레지스트리에

자신을 등록해 놓는다. 등록되는 레지스트리는 다음과 같이 확인되었다

[HKEY_LOCAL_MACHINE]

[SOFTWARE]

[Microsoft]

[Windows]

[CurrentVersion]

[Run]

+ Lien Van de Kelder www.lienvandekelder.be.exe

[RunServices]

+ Lien Van de Kelder www.lienvandekelder.be.exe

KrCERT-AR-2005-57 http://www.krcert.or.kr

Mytob.P 웜 분석보고서 cert@krcert.or.kr

____________________________________________________________________________________________

_____________________________________________________________________________________

- 7 -

□ 감염 후 특이 사항

감염 시 일부 보안관련 사이트 접속에 장애가 발생한다. 웜은 유명 보안 사

이트에 대한 접속을 차단하기 위하여 시스템폴더driversetchosts 파일에

아래의 내용을 추가한다. 해당 도메인들의 IP 주소가 loopback으로 고정되게

되어 접속장애가 발생한다

127.0.0.1 www.symantec.com

127.0.0.1 securityresponse.symantec.com

127.0.0.1 symantec.com

127.0.0.1 www.sophos.com

127.0.0.1 sophos.com

127.0.0.1 www.mcafee.com

127.0.0.1 mcafee.com

127.0.0.1 liveupdate.symantecliveupdate.com

127.0.0.1 www.viruslist.com

127.0.0.1 viruslist.com

127.0.0.1 viruslist.com

127.0.0.1 f-secure.com

127.0.0.1 www.f-secure.com

127.0.0.1 kaspersky.com

127.0.0.1 kaspersky-labs.com

127.0.0.1 www.avp.com

127.0.0.1 www.kaspersky.com

127.0.0.1 avp.com

127.0.0.1 www.networkassociates.com

127.0.0.1 networkassociates.com

127.0.0.1 www.ca.com

127.0.0.1 ca.com

127.0.0.1 mast.mcafee.com

127.0.0.1 my-etrust.com

127.0.0.1 www.my-etrust.com

127.0.0.1 download.mcafee.com

127.0.0.1 dispatch.mcafee.com

127.0.0.1 secure.nai.com

127.0.0.1 nai.com

127.0.0.1 www.nai.com

127.0.0.1 update.symantec.com

127.0.0.1 updates.symantec.com

127.0.0.1 us.mcafee.com

127.0.0.1 liveupdate.symantec.com

127.0.0.1 customer.symantec.com

127.0.0.1 rads.mcafee.com

127.0.0.1 trendmicro.com

127.0.0.1 www.trendmicro.com

127.0.0.1 www.grisoft.com

127.0.0.1 www.microsoft.com

127.0.0.1 microsoft.com

127.0.0.1 www.msn.com

127.0.0.1 www.virustotal.com

127.0.0.1 virustotal.com

127.0.0.1 www.oxyd.fr

127.0.0.1 oxyd.fr

127.0.0.1 www.t35.com

127.0.0.1 t35.com

127.0.0.1 www.t35.net

127.0.0.1 t35.net

KrCERT-AR-2005-57 http://www.krcert.or.kr

Mytob.P 웜 분석보고서 cert@krcert.or.kr

____________________________________________________________________________________________

_____________________________________________________________________________________

- 8 -

또한, 웜은 일부 시스템 도구 (레지스트리 편집 도구인 Regedit 와 작업 관리

자 Task Manager) 실행을 불가능하게 하여 대응 조치를 어렵게 한다

□ 메일 공격력 및 네트워크에 미치는 영향

o 감염 후 메일 발송 빈도 u48143 . 발생 트래픽은 아래와 같다. 최대 발생 가능한

트래픽은 분당 2,813,748 Byte 로 관찰되었다.

※ 수치는 시험환경에 따라 달라질 수 있다.

항 목 관찰 결과

분당 메일 공격 빈도 28 회

메일 1건의 크기

(웜 본체 + 전송 Overhead) 100,491 Bytes

분당 최대 발생 트래픽

(28회 모두 전송 성공 시)

2,813,748 Byte

(100,491 Byte X 28회)

<분당 메일 공격 시도 횟수 샘플>

아래 화면은 감염PC의 웜이 메일전송을 위하여 메일서버로 접속을 시도하는 횟수

를 추출한 결과이다. 아래 그림은 60분간의 횟수를 나타내므로 1분당 28회 정도

로 볼수 있다

<웜 1회 전송 시 발생 트래픽 샘플>

표시된 “100,491”byte는 하나의 웜메일 전송 (SMTP) 세션에서 발생한 트래픽 총합,

즉 1회 웜메일 전송 시 발생하는 데이터 크기이다 (전송Overhead포함)

KrCERT-AR-2005-57 http://www.krcert.or.kr

Mytob.P 웜 분석보고서 cert@krcert.or.kr

____________________________________________________________________________________________

_____________________________________________________________________________________

- 9 -

□ 위험 요소 분석

o 위험 요소

현재 명령 전달에 이용되는 사이트 irc.blackcarder.net (TCP 4512)가

2005.06.03 16:00 현재 접속이 가능한 상태이므로 웜 제작자가 의도할 경우

감염된 PC에서 추가적인 악성행위 및 피해를 발생시킬 수 있다.

IRC 명령전달을 통하여 웜 업그레이드 및 전파 방법이 추가 (RPC, LSASS

취약점등)될 가능성이 있다

o 참고 사항

공격 메일 문구가 영문이므로 국내에서는 첨부파일을 클릭하는 사용자들이

많지는 않을 것으로 예상된다. 국내에 웜이 대량으로 유입될 경우, 많은 백

신 및 바이러스 월이 이미 패턴 업데이트가 이루어져 확산억제 및 예방에

효과를 볼수 있을 것으로 보인다.

□ 예방 및 대응 방안

o 네트워크 관리자

- 바이러스 월의 패턴이 최신으로 업데이트 되었는지 확인한다

- irc.blackcarder.net 도메인 쿼리 트래픽을 차단하도록 한다

o 사용자

- 확인되지 않은 메일의 첨부 파일은 실행 시키지 않는다

- 백신 업데이트를 신속히 실시한다

□ 감염 확인 및 조치 방법

o 감염 확인 방법

시스템 폴더에 아래 파일이 존재하는지 확인한다.

해당 파일이 존재한다면 감염된 것으로 보아야 한다.

Lien vd Kelder.exe 61952

www.lienvandekelder.be.exe 62464

※ 시스템 폴더 WinXP: C:windowssystem32

Win2K: c:WINNTsystem32

KrCERT-AR-2005-57 http://www.krcert.or.kr

Mytob.P 웜 분석보고서 cert@krcert.or.kr

____________________________________________________________________________________________

_____________________________________________________________________________________

- 10 -

o 감염 시 조치 방법

Step1. PC를 안전 모드로 부팅한다. 부팅 시 F8을 누르고 있으면 아래 화면

이 뜨게 된다. 이때 “안전 모드”를 선택한다

Step2. 아래와 같이 웜이 생성한 레지스트리를 삭제한다.

시작 → 실행 클릭 후 regedit 입력

[HKEY_LOCAL_MACHINE][SOFTWARE][Microsoft][Windows][CurrentVersion][Run]에서

"Lien Van de Kelder www.lienvandekelder.be.exe“ 를 삭제한다

[HKEY_LOCAL_MACHINE][SOFTWARE][Microsoft][Windows][CurrentVersion][RunServices] 에서

“Lien Van de Kelder www.lienvandekelder.be.exe” 를 삭제한다

KrCERT-AR-2005-57 http://www.krcert.or.kr

Mytob.P 웜 분석보고서 cert@krcert.or.kr

____________________________________________________________________________________________

_____________________________________________________________________________________

- 11 -

Sep3. 웜에 의하여 생성된 파일을 삭제한다

- 위 치 : 시스템 폴더

- 파일명: Lien vd Kelder.exe

www.lienvandekelder.be.exe

- 위 치 : "c:" 폴더

- 파일명 : svchost.exe , ncsvc32.exe

Step4. 시스템 폴더driversetc 에 위치한 hosts 파일을 Notepad 또는 기

타 Editor로 열어 웜이 추가한 내용을 삭제한다. (웜이 hosts 파일에

추가하는 내용은 위 “감염 후 특이사항” 부분 참고)

Step5. PC를 재 부팅 한다.