Nyxem (Grew.A) 웜 분석 보고서

Nyxem (Grew.A) 웜 분석 보고서

다운로드 ==>  Nyxem (Grew.A) 웜 분석 보고서.pdf

자료 : 한국정보보호진흥원(KISA)

Nyxem.95690(Grew.A) 웜 분석 보고서
2006. 1. 26
인터넷침해사고대응지원센터 (KISC)
※ 본 보고서의 전부나 일부를 인용시 반드시 [자료: 한국정보보호진흥원(KISA)]를 명시하여 주시기 바랍니다.
KrCERT-AR-2006-10 http://www.krcert.or.kr
Grew.A (Nyxem.95690) cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
□ 개 요
Nyxem.95690 (Grew.A) 웜은 대량의 악성 메일 및 윈도우의 취약한 암호설정을
악용하여 전파되는 웜이다.
웜은 매월 3일 ppt, zip, doc, pdf 등 특정 확장명을 가지는 파일을 파괴하고
마우스 및 키보드를 사용할 수 없게 하며 일부 보안 프로그램을 종료 및 삭제한
다. 또한, 시스템 내에 저장되어 있는 메일주소들을 검색하여 웜 전파를 위한 메
일을 발송한다.
2006.1.26 현재까지 국내에서는 감염피해가 발생하지 않았으나 국외에서는 많은
감염 사례가 보고되고 있으므로 주의하여야 한다.
o 관련 포트 트래픽 동향
※ 웜이 전파에 이용하는 TCP25,139,445번 포트(SMTP)에 대한 국내 주요 ISP의 최
근[2006.1.11~2006.1.26] 트래픽을 샘플링 한 결과 이상징후가 없는것으로 관찰됨
KrCERT-AR-2006-10 http://www.krcert.or.kr
Grew.A (Nyxem.95690) cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
□ 주요 공격 및 전파 기법
Nyxem.95690 (Grew.A)는 웜 자신을 파일로 첨부하고, 메일의 본문에 사용자
가 해당 첨부파일을 클릭 하도록 유도하는 내용을 담은 메일을 통하여 전파
된다. 메일 공격 대상 주소는 PC 내 파일들에서 추출한다.
또한 이 웜은 관리목적으로 공유된 공유폴더를 악용하여 전파된다. 사용자가
OS 암호를 설정하지 않았거나, 취약한 암호를 설정하였을 경우 감염될 수 있
다.
□ 웜이 발송하는 메일유형
웜이 발송하는 메일 형식은 다음과 같다.
o 제목: 아래 형태 중 하나
- "A Great Video"
- "Arab sex DSC-00465.jpg"
- "eBook.pdf"
- "Fw:"
- "Fw: DSC-00465.jpg"
- "Fw: Funny :)"
- "Fw: Picturs"
- "Fw: Real show"
- "Fw: SeX.mpg"
- "Fw: Sexy"
- "Fwd: Crazy illegal Sex!"
- "Fwd: image.jpg"
- "Fwd: Photo"
- "give me a kiss"
- "04.pif"
- "Miss Lebanon 2006"
- "My photos"
- "Part 1 of 6 Video clipe"
- "Photos"
- "Re:"
- "School girl fantasies gone bad"
KrCERT-AR-2006-10 http://www.krcert.or.kr
Grew.A (Nyxem.95690) cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
o 메일 본문: 아래 형태 중 하나
- ">> forwarded message"
- "forwarded message attached."
- "Fuckin Kama Sutra pics"
- "hello,"
- "Helloi attached the details."
- "Hot XXX Yahoo Groups"
- "how are you?"
- "i just any one see my photos."
- "i send the details."
- "i send the file."
- "It's Free :)"
- "Note: forwarded message attached. You Must View This Videoclip!"
- "Please see the file."
- "Re: Sex Video "
- "ready to be FUCKED ;)"
- "Thank you"
- "The Best Videoclip Ever"
- "the file i send the details"
- "VIDEOS! FREE! (US$ 0,00)"
- "What?"
o 첨부파일명: 아래 형태 중 하나
- 04.pif
- 007.pif
- 392315089702606E-02,.scR
- 677.pif
- Adults_9,zip.sCR
- ATT01.zip.sCR
- Attachments[001],B64.sCr
- Clipe,zip.sCr
- document.pif
- DSC-00465.Pif
- DSC-00465.pIf
- eBook.pdf
- eBook.PIF
- image04.pif
- New Video,zip
- New_Document_file.pif
- photo.pif
- Photos,zip.sCR
- School.pif
- SeX,zip.scR
- Sex.mim
- Video_part.mim
- WinZip,zip.scR
- WinZip.BHX
- WinZip.zip.sCR
- Word XP.zip.sCR
- Word.zip.sCR
KrCERT-AR-2006-10 http://www.krcert.or.kr
Grew.A (Nyxem.95690) cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
□ 감염 시 증상
o 특정 확장명 파일을 손상시켜 사용할 수 없도록 한다.
매월 3일에 아래 확장자를 가지는 모든 파일 내용을 32byte길이의 "DATA
Error [47 0F 94 93 F4 F5]" 내용으로 덮어쓴다. 기존 데이터는 삭제된다.
손상시키는 파일 종류는 다음과 같다.
*.ppt
*.doc
*.pdf
*.xls
*.zip
*.rar
*.mdb
*.mde
*.pps
*.psd
*.dmp
아래 그림은 웜 감염 후 감염 PC에 저장되어 있던 파일의 내용이 삭제되
고 “ DATA Error [47 0F 94 93 F4 F5]” 내용으로 변경된 예를 보여준다.
KrCERT-AR-2006-10 http://www.krcert.or.kr
Grew.A (Nyxem.95690) cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
PC내에 존재하는 위 확장명의 파일들은 모두 변경되는 것으로 확인되었다.
아래 그림은 다수의 파일이 손상된 예이다.
o 일부 보안 프로그램 종료 및 삭제
Kaspersky, McAfee, TREND MICRO, Symantec 등의 보안 프로그램을 종료
하고 삭제시킨다
o 특정 사이트 접속
http://webstats.web.rcn.net/cgi-bin/Count.cgi?df=765247
해당 사이트는 다음과 같이 접속을 Count 한다. 감염건수를 확인하기 위한
것으로 추정된다
KrCERT-AR-2006-10 http://www.krcert.or.kr
Grew.A (Nyxem.95690) cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
□ 감염 / 피해 예방 방법
o 감염 여부 확인 방법
① 시작 → 실행을 클릭한다
② “regedit” 를 입력하여 레지스트리 편집기를 실행한다.
③ HKEY_LOCAL_MACHINE → SOFTWARE → Microsoft →
→ Windows → CurrentVersion → Run 위치에
ScanRegistry = "scanregw.exe /scan" 가 존재하는지 확인한다.
해당 레지스트리가 존재하면 감염된 것임
KrCERT-AR-2006-10 http://www.krcert.or.kr
Grew.A (Nyxem.95690) cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
o 감염 예방 방법
▶ 백신을 최신버전으로 업데이트, 실시간모니터링을 설정하고 주기적으로
감염 여부를 점검한다.
▶ 확인되지 않은 메일의 첨부 파일을 실행하지 않는다.
▶ 윈도우 OS 암호를 추측하기 어렵게 설정한다.
※ 윈도우 OS 암호를 설정하는 방법
☞ 윈도우 XP의 경우
① 시작 → 제어판 선택
② 제어판에서 “사용자계정” 선택
KrCERT-AR-2006-10 http://www.krcert.or.kr
Grew.A (Nyxem.95690) cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
③ “암호 만들기” 선택
☞ 윈도우2K 의 경우
"Ctrl" , "Alt" , "Del" 을 동시에 누른다. 아래 화면이
나타나면 “암호 변경”을 클릭 후 변경한다.
□ 감염 시 치료 방법
① 윈도우를 안전모드로 부팅. 부팅 시 F8을 누른 후 안전 모드 선택
KrCERT-AR-2006-10 http://www.krcert.or.kr
Grew.A (Nyxem.95690) cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
② 웜이 생성한 악성 코드 삭제
탐색기→ 도구 → 폴더 옵션 → 보기 에서
"보호된 운영 시스템 파일 숨기기" 를 해제 및
"숨김 파일 및 폴더 표시" 에 체크한 후 확인을 누른다
(악성코드 삭제 후에는 원복함).
아래의 웜이 생성한 파일을 삭제한다.
"시스템 폴더"scanregw.exe
"시스템 폴더"Update.exe
"윈도우 폴더"Rundll16.exe
"시스템드라이브"WINZIP_TMP.exe
또한, 시스템 폴더에 아래 이름의 파일이 존재할 경우 삭제한다.
"시스템 폴더"SAMPLE.ZIP
"시스템 폴더"New WinZip File.exe
"시스템 폴더"sample.zip
"시스템 폴더"Winzip.exe
"시스템 폴더"WINZIP_TMP.EXE
KrCERT-AR-2006-10 http://www.krcert.or.kr
Grew.A (Nyxem.95690) cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
※ "윈도우 폴더": C:Windows 또는 C:Winnt
"시스템 폴더": Windows 95/98/Me C:WindowsSystem
Windows NT/2000 C:WinntSystem32
Windows XP C:WindowsSystem32
"시스템드라이브": Windows가 설치되어 있는 드라이브
ex. "C:" 또는 "D:"
③ 웜이 생성한 레지스트리 삭제
HKEY_LOCAL_MACHINE → SOFTWARE → Microsoft →
→ Windows → CurrentVersion → Run 의
ScanRegistry = "scanregw.exe /scan" 항목에서 마우스 오른쪽
버튼을 클릭 후 “삭제” 선택
④ 시작 → 설정 → 제어판 → 예약된 작업 에서 아래와 같이
WINZIP_TMP.exe를 실행시키는 예약작업은 모두 삭제한다.
KrCERT-AR-2006-10 http://www.krcert.or.kr
Grew.A (Nyxem.95690) cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
⑤ 재 부팅 한다.