Mytob..41727 웜 분석 보고서

KrCERT-AR-2005-60 http://www.krcert.or.kr
Mytob.41727 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
Mytob..41727 웜 분석 보고서
2005. 6. 13
인터넷침해사고대응지원센터 (KISC)
※ 본 보고서의 전부나 일부를 인용시 반드시 [자료: 한국정보보호진흥원(KISA)]를 명시하여 주시기 바랍니다.
KrCERT-AR-2005-60 http://www.krcert.or.kr
Mytob.41727 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
- 1 -
□ 개 요
Mytob.41727 은 메일 첨부를 통하여 전파되는 웜이다. 웜은 자신을 확산
시키기 위하여 대량 메일을 발송한다.
감염 후에 웜은 웜 제작자로 부터 명령을 전달 받기 위하여 특정 IRC 서버로
(irc.blackcarder.net) 접속을 시도한다. 테스트 시간대에는 [6/13 13:00 ~
18:00] 해당 IRC 서버의 접근이 불가능한 것으로 관찰되었다
웜이 발송하는 전파 메일 문구가 영어 이므로 첨부파일을 클릭하는 사용자들
이 많지는 않을 것으로 예상되나, 6.13 13:00 현재 국내 일부 바이러스월 및
백신에서 패턴 등록이 아직 이루어지지 않아 확산에 대한 주의가 필요하다..
o 웜의 국내유입 일시 : 2005년 6월 13일
o 관련 포트 트래픽 동향
※ 2005. 6.13 현재 국내 TCP 25 포트(SMTP) 트래픽 추이에 이상 징후가 없는 것
으로 관찰됨
<2005.06.07 ~ 2005.6.13 TCP 25 포트 트래픽 (bps, pps) 변동 추이>
KrCERT-AR-2005-60 http://www.krcert.or.kr
Mytob.41727 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
- 2 -
o 웜 파일명 및 크기, 형태
파일명 파일크기
skybot.exe 41,727 byte
□ 주요 공격 및 전파 기법
o 공격 절차
- Mytob.41727은 메일을 발송하여 자신을 전파한다. 메일 발송 시 웜 자신을
파일로 첨부하며, 메일의 본문에 사용자가 해당 첨부파일을 클릭 하도록 유
도하는 내용을 담는다. 메일 공격 대상 주소는 PC 내에 저장되어 있는 파
일들로부터 추출한다. 또한 감염 후 특정 IRC 서버로의 접속시도가 발생
하는데, 해당 서버로부터 명령을 전달 받을 경우 전파 기법이 네트워크 서
비스 취약성 등으로 확대될 가능성이 있다. 테스트 시간대에는 [6/13 13:00
~18:00] 해당 서버의 접속이 불가한 것으로 관찰 되었다.
* 웜은 PC내의 파일들로 부터 메일 주소를 추출한다
* 추출된 주소로 웜 파일을 첨부하여 메일을 발송한다. IRC 서버에 접
속하여 웜 제작자로부터 명령을 전달 받는다.
o IRC 서버 접근 시도 트래픽 분석
감염 후 아래와 같이 irc.blackcarder.net 로의 접근시도가 관찰되었다.
테스트 시간 동안 [6/13 13:00 ~18:00] 해당 사이트 도메인에 대한 DNS 응답
이 없어 해당 서버로의 접속이 불가능한 것으로 관찰되었다.
KrCERT-AR-2005-60 http://www.krcert.or.kr
Mytob.41727 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
- 3 -
o 웜이 발송하는 메일 유형 분석
사용자가 웜이 발송한 메일의 첨부파일을 부주의 하게 실행하였을 경우 감염
되게 된다. 웜이 발송하는 메일 형식은 다음과 같이 관찰되었다.
* 첨부 파일 크기: 4x,xxx byte ( x는 가변적 )
* 제목, 내용, 첨부 파일 명은 아래와 같다. 아래 내용은 감염 PC의 웜이 발
송하는 메일 패킷을 재조합 하여 outlook으로 확인한 결과이다.
<유형1. 제목, 첨부, 내용 Sample> <유형2. 제목, 첨부, 내용 Sample>
KrCERT-AR-2005-60 http://www.krcert.or.kr
Mytob.41727 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
- 4 -
<유형3. 제목, 첨부, 내용 Sample > <유형4. 제목, 첨부, 내용 Sample>
<유형5. 제목, 첨부 Sample> <유형6. 제목, 첨부 Sample >
<유형7. 제목, 첨부 Sample> <유형8. 제목 Sample>
KrCERT-AR-2005-60 http://www.krcert.or.kr
Mytob.41727 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
- 5 -
<유형9. 첨부 Sample> <유형10. 제목 Sample>
<유형11. 제목, 첨부 Sample> <유형12. 제목, 첨부 Sample>
<유형13. 제목 Sample> <유형14. 제목, 첨부 Sample>
<유형15. 제목 Sample> <유형16. 첨부 Sample>
KrCERT-AR-2005-60 http://www.krcert.or.kr
Mytob.41727 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
- 6 -
확인된 위의 내용을 정리해 보면 다음과 같다.
☞ 메일 제목: 아래 내용 중 하나
. Email Account Suspension
. EMAIL ACCOUNT SUSPENSION
. Your password has been successfully updated
. Your Account is Suspended
. Warning Message: Your services near to be closed
. YOU HAVE SUCCESSFULLY UPDATED YOUR PASSWORD
. Your Account is Suspended For Security Reasons
. *DETECTED* ONLINE USER VIOLATION
. Notice of account limitation
. Important Notification
. Your new account password is approved
. Members Support
. Random 하게 생성 (ex. bhhfmuzpajvscosde)
☞ 메일 내용: 아래 내용 중 하나
"XXXX" 문자열은 가변적
Dear XXXX Member,
We have temporarily suspended your email account ted@XXXX.com.
This might be due to either of the following reasons:
1. A recent change in your personal information (i.e. change of address).
2. Submiting invalid information during the initial sign up process.
3. An innability to accurately verify your selected option of subscription due to an internal
error within our processors.
See the details to reactivate your XXXX account.
Sincerely,The XXXX Support Team
+++ Attachment: No Virus (Clean)
+++ XXXX Antivirus - www.XXXX.com
KrCERT-AR-2005-60 http://www.krcert.or.kr
Mytob.41727 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
- 7 -
Dear user smith,
You have successfully updated the password of your XXXX account.
If you did not authorize this change or if you need assistance with your account, please
contact XXXX customer service at: support@XXXX.com
Thank you for using XXXX!
The XXXX Support Team
+++ Attachment: No Virus (Clean)
+++ XXXX Antivirus - www.XXXX.com
Dear XXXX Member,
Your e-mail account was used to send a huge amount of unsolicited spam messages
during the recent week. If you could please take 5-10 minutes out of your online
experience and confirm the attached document so you will not run into any future
problems with the online service.
If you choose to ignore our request, you leave us no choice but to cancel your
membership.
Virtually yours,
The XXXX Support Team
+++ Attachment: No Virus found
+++ XXXX Antivirus - www.XXXX.com
Dear user matt,
It has come to our attention that your XXXX User Profile ( x ) records are out of date.
For further details see the attached document.
Thank you for using XXXX!
The XXXX Support Team
+++ Attachment: No Virus (Clean)
+++ XXXX Antivirus - www.XXXX.com
KrCERT-AR-2005-60 http://www.krcert.or.kr
Mytob.41727 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
- 8 -
☞ 첨부 파일:
아래 이름 중 하나로 파일을 첨부하는 것으로 관찰 되었다. 해당 파일은
웜이므로 클릭하지 않도록 한다.
. document.zip
. updated-password.zip
. account-details.zip
. account-info.zip
. email-password.zip
. account-report.zip
. email-details.zip
. new-password.zip
. accepted-password.zip
. password.zip
. important-details.zip
. readme.zip
. approved-password.zip
. Random파일명.zip (ex. kox.zip)
□ OS 변경 사항
- 파일 생성
아래와 같은 파일이 생성되는 것으로 관찰되었다.
․윈도우 시스템 폴더에 skybot.exe 파일이 만들어 진다.
※ 윈도우 시스템 폴더: WinNT,2000 c:winntsystem32
WinXP c:Windowssystem32
C:WINDOWS system32
+ skybot.exe 41,727 byte
- 레지스트리 변경/추가 발생
웜은 재 부팅 시에도 메모리에 다시 로딩되게 하기 위하여 레지스트리에
자신을 등록해 놓는다. 등록되는 레지스트리는 다음과 같이 확인되었다
KrCERT-AR-2005-60 http://www.krcert.or.kr
Mytob.41727 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
- 9 -
[HKEY_LOCAL_MACHINE]
[SOFTWARE]
[Microsoft]
[Windows]
[CurrentVersion]
[Run]
WINDOWS SYSTEM skybot.exe
[HKEY_LOCAL_MACHINE]
[SOFTWARE]
[Microsoft]
[Windows]
[CurrentVersion]
[RunServices]
WINDOWS SYSTEM skybot.exe
□ 감염 후 특이 사항
감염 시 일부 보안관련 사이트 접속에 장애가 발생한다. 웜은 주요 보안 사
이트에 대한 접속을 차단하기 위하여 시스템폴더driversetchosts 파일에
아래의 내용을 추가한다.
해당도메인들의 IP 주소가 loopback으로 고정되게 되어 접속장애가 발생한다
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
KrCERT-AR-2005-60 http://www.krcert.or.kr
Mytob.41727 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
- 10 -
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 pandasoftware.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.microsoft.com
127.0.0.1 microsoft.com
127.0.0.1 www.virustotal.com
127.0.0.1 virustotal.com
127.0.0.1 www.amazon.com
127.0.0.1 www.amazon.co.uk
127.0.0.1 www.amazon.ca
127.0.0.1 www.amazon.fr
127.0.0.1 www.paypal.com
127.0.0.1 paypal.com
127.0.0.1 moneybookers.com
127.0.0.1 www.moneybookers.com
127.0.0.1 www.ebay.com
127.0.0.1 ebay.com
또한, 웜은 일부 시스템 도구 (레지스트리 편집 도구인 Regedit 와 작업 관리
자 Task Manager) 실행을 불가능하게 하여 대응 조치를 어렵게 한다
□ 메일 공격력 및 네트워크에 미치는 영향
o 감염 후 메일 발송 빈도 및 발생 트래픽은 아래와 같다. 최대 발생 가능한 트
래픽은 분당 2,705,640 Byte로 관찰되었다.
※ 수치는 시험환경에 따라 달라질 수 있다.
항 목 관찰 결과
분당 메일 공격 빈도 40 회
메일 1건의 크기
(웜 본체 + 전송 Overhead) 67,641 Bytes
분당 최대 발생 트래픽
(40회 모두 전송 성공 시)
2,705,640 Byte
(67,641 Byte X 40회)
KrCERT-AR-2005-60 http://www.krcert.or.kr
Mytob.41727 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
- 11 -
<분당 메일 공격 시도 횟수 샘플>
아래 화면은 감염PC의 웜이 메일전송을 위하여 메일서버로 접속을 시도하는 횟수
를 추출한 결과이다. 아래 그림은 60분간의 횟수를 나타내므로 1분당 40회 정도
로 볼수 있다
<웜 1회 전송 시 발생 트래픽 샘플>
표시된 “67,641”은 웜 메일 전송 (SMTP) 1회 성공 시 발생하는 데이터 크기이다
□ 위험 요소 분석
o 위험 요소
- 공격 메일 문구가 영문이므로 국내에서는 첨부파일을 클릭하는 사용자들
이 많지는 않을 것으로 예상되나, 6/13 13:00 현재 일부 국내/외 주요 백
신 및 바이러스/월에 아직 해당 웜에 대한 패턴 등록이 안되어 있어 확산
에 대한 주의가 필요하다.
- 현재는 명령전달 위한 사이트 irc.blackcarder.net 로의 접속이 불가한 것으
로 관찰되었으나, 재접속 가능성에 대한 계속적인 주의와 모니터링이 필요
하다. IRC 서버를 통하여 악의적인 명령이 전달될 경우, RPC, LSASS
취약점등이 전파기법에 추가될 가능성이 있다.
KrCERT-AR-2005-60 http://www.krcert.or.kr
Mytob.41727 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
- 12 -
□ 예방 및 대응 방안
o 네트워크 관리자
- 바이러스 패턴 업데이트 여부를 확인한다. 참고로 6.13 13:00 현재 일부
바이러스 월에서는 패턴 등록이 안되어 웜 진단이 불가능할 수 있으므로,
사용자가 메일 첨부파일 클릭 시 각별하게 주의할 수 있도록 한다.
- 명령전달을 위한 악성 사이트(irc.blackcarder.net)가 현재 접속이 불가능한
것으로 보이나 보다 확실한 예방을 위하여 해당사이트로의 도메인 쿼리
트래픽을 차단하도록 한다.
o 사용자
- 확인되지 않은 메일의 첨부 파일은 실행 시키지 않는다
- 백신 업데이트를 신속히 실시한다
□ 감염 확인 및 조치 방법
o 감염 확인 방법
시스템 폴더에 41,727 byte 크기의 skybot.exe 파일이 존재하는지 확인한다.
해당 파일이 존재한다면 감염된 것으로 보아야 한다
※ 윈도우 시스템 폴더: WinNT,2000 c:winntsystem32
WinXP c:Windowssystem32
o 감염 시 조치 방법
Step1. PC를 안전 모드로 부팅한다. 부팅 시 F8을 누르고 있으면 아래 화면
이 뜨게 된다. 이때 “안전 모드”를 선택한다
KrCERT-AR-2005-60 http://www.krcert.or.kr
Mytob.41727 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
- 13 -
Step2. 아래와 같이 웜이 생성한 레지스트리를 삭제한다.
시작 → 실행 클릭 후 regedit 입력
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun 에서
"WINDOWS SYSTEM skybot.exe" 를 삭제한다
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
에서 "WINDOWS SYSTEM skybot.exe" 를 삭제한다
Sep3. 웜에 의하여 생성된 파일을 삭제한다
- 위 치 : 시스템 폴더
- 파일명: skybot.exe 41,727 byte
Step4. 시스템 폴더driversetc 에 위치한 hosts 파일을 Notepad 또는 기
타 Editor로 열어 웜이 추가한 내용을 삭제한다. (웜이 hosts 파일에
추가하는 내용은 위 “감염 후 특이사항” 부분 참고)
Step5. PC를 재 부팅 한다.