Ratos.27136 웜/바이러스 분석보고서

KrCERT-TR-2004 http://www.krcert.or.kr
Ratos.27136 웜/바이러스 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
Ratos 27136 웜/바이러스 분석 보고서
2004. 8. 17
인터넷침해사고대응지원센터 (KISC)
※ 본 보고서의 전부나 일부를 인용시 반드시 [자료: 한국정보보호진흥원(KISA)]를 명시하여 주시기 바랍니다.
KrCERT-TR-2004 http://www.krcert.or.kr
Ratos.27136 웜/바이러스 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 1 -
□ 개 요
Ratos 27136 웜/바이러스는 메일첨부를 통하여 전파되는 웜으로써 메일첨부 통
한 1차 감염 후, 특정사이트 접속을 통하여 추가적으로 2차 악성코드가 설치되
므로 주의 필요
o 웜의 국내유입 일시 : 2004년 8월 16일
o 관련 포트 트래픽 동향
※ 2004. 8.17 현재 국내 TCP 25 포트(SMTP) 트래픽 이상 징후는 나타나지 않음
<2004.8.11 ~ 2004.8.17 TCP 25 포트 트래픽 (bps, pps) 변동 추이>
KrCERT-TR-2004 http://www.krcert.or.kr
Ratos.27136 웜/바이러스 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 2 -
o 웜 파일명 및 크기
파일명 파일크기 비고
photos_arc.exe 27,136 1차 감염
[웜 샘플 확보중] [웜 샘플 확보중] 2차 감염
□ 감염 시스템 및 전파 방법
o 대상OS: Windows 9X, ME, 2000, NT, XP, 2003
o 전파방법:
- 특정 사이트 접속을 통한 악성코드 다운로드
- 메일 첨부 통한 악성 코드 전파
□ 주요 공격 및 전파 기법
o 공격 절차
- Ratos 감염시 두 번에 걸친 악성코드 설치가 발생하는데, 첫 번째로 메일첨
부를 클릭시 1차로 감염되고, 1차 감염이 성공할 경우 자동적으로 특정사이
트로부터 추가적인 악성코드가 다운로드 되어, 2차 감염 발생. 1차 감염
후, 자신의 복제파일을 메일에 첨부하여 타 시스템 으로 전파하는 시도가
관찰됨.
공격자(웜제작자)는 몇몇 웹
서버를 해킹하여 2차 악성
코드 전파에 사용될 숙주서
버 확보 및 악성코드 다운
로드 환경구성
※ 2차감염코드파일명:
ispy.1.jpg, coco3.jpg,
temp587.gif
사용자는 타감염PC가 발송한
메일첨부인 “photos_arc.exe”
를 부주의하게 실행하여 웜
에 감염됨 (1차 감염)
웜에 감염되면 “2차 감염
코드”가 저장된 숙주서버
에 접속하여 2차 감염을
위한 악성코드를 다운로드
하여 설치 (2차감염). 또한
다른 사용자에게 1차감염
코드 인 “photos_arc.exe"
파일을 첨부하여 메일을
전송
KrCERT-TR-2004 http://www.krcert.or.kr
Ratos.27136 웜/바이러스 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 3 -
o 공격 절차별 상세 설명
1. 공격자는 몇몇 웹 서버를 해킹하여, 2차 감염코드 전파를 위한 환경 확보
※ 해킹 후 2차 감염코드인 ispy.1.jpg, coco3.jpg, temp587.gif 다운로드 환경 구성
2. 피해자는 감염된 타 PC들이 발송한 “photos_arc.exe” 악성코드를 부주의하게 실
행하여 1차 감염.
1차 감염 시 피해 PC에는 다음과 같은 파일 및 레지스트리 변경이 발생함
- 파일 생성
․“시스템 폴더”에 winpsd.exe [27,136 byte] 생성
․“윈도우 폴더“에 rasor38a.dll 생성
- 레지스트리 변경/추가 발생
. HKEY_LOCAL_MACHINESOFTWAREWindowsCurrentVersionRun
winpsd = “시스템 폴더”winpsd.exe
※ 시스템 폴더 :
WinXP : C:WINDOWSsysem32
Win2K, WinNT : C:WINNTsystem32
윈도우 폴더 :
WinXP : C:WINDOWS
Win2K, WinNT : C:WINNT
3. 감염 후, 자신의 복제 파일인 “photos_arc.exe" (1차 감염파일)를 메일로 첨부
하여, 타 PC에 전송.
메일 제목: photos
메일 내용: LOL!;))))
첨부 파일 이름: photos_arc.exe
<메일 제목, 내용, 첨부 파일명 확인 >
KrCERT-TR-2004 http://www.krcert.or.kr
Ratos.27136 웜/바이러스 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 4 -
4. 특정 주소로 접속하여 ispy.1.jpg, coco3.jpg, temp587.gif 파일 다운로드 및
설치. 해당파일은 2차 감염을 위한 악성코드 임
※ 접속주소 [2004.8.17 12:00 ~ 15:00 관찰 결과]
richcolour.com/spy.1.jpg
richcolour.com/coco3.jpg
richcolour.com/guestbook/temp/temp587.gif
zenandjuice.com
<2차 감염코드 다운로드 시도>
KrCERT-TR-2004 http://www.krcert.or.kr
Ratos.27136 웜/바이러스 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 5 -
□ 네트워크에 미치는 영향
o 2차 감염을 위한 악성코드 다운로드 사이트 (숙주 서버) 접속 시도 횟수
- 8회 / 분당
<2차 감염 숙주 서버 접속시도 횟수>
☞ 감염PC에서 숙주서버로의 트래픽 중 분당 Syn 패킷 추출
o 1차 감염 후 메일 발송 빈도 및 발생 트래픽
항 목 관찰 결과
분당 메일전송 빈도 13 회
메일 1건의 크기
(웜 본체 + 전송 Overhead)
45,470 Bytes
분당 최대 발생 트래픽
(13회 모두 전송 성공 시)
591,110 Byte
(45,470 Byte X 13회)
<메일 전송 시도 횟수>
☞감염PC에서 메일서버로 전송되는 SMTP 트래픽 중 분당 Syn 패킷 추출
<웜 1회 전송 시 발생 트래픽>
※ 표시된 “45470”은 메일전송 (SMTP) 1회 성공 시 발생하는 데이터 크기임
KrCERT-TR-2004 http://www.krcert.or.kr
Ratos.27136 웜/바이러스 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 6 -
□ 위험 요소 및 향후전망
o 1차 감염 시, 웜 확산을 위한 메일 공격 시도가 관찰되었으므로 주의가 필요
o 2차 감염으로 인한 피해 발생 가능성은 감소되었다고 판단됨
※ 2차 감염코드 다운로드를 위한 숙주 웹사이트가 모두 차단
o 숙주 사이트 주소가 변경된 유사 웜들이 계속적으로 출현할 것으로 예상됨
□ 예방 및 대응 방안
o 네트워크 관리자
- 바이러스 월 패턴 업데이트
- SMTP 트래픽 추이 모니터링
o 사용자
- 확인되지 않은 메일의 첨부 파일은 실행 시키지 않음
- 백신 업데이트 및 주기적 검사 실시
- 2차 감염 PC 의 경우 자료유출, 원격통제 등의 악성행위가 예상되므로, 개
인 방화벽 등을 활용하여 악성 행위 예방
o 감염 시 대응 조치법
- 1차감염 코드 (iWindirect.exe) 에 대한 대응 조치법
․ Process 삭제
"Control + Alt + Del"를 누른후 프로세스 메뉴에서
"winpsd.exe" 선택 후, “프로세스 끝내기” 클릭
※ winpsd.exe가 없을 경우 “photos_arc.exe”를 찾아볼 것
KrCERT-TR-2004 http://www.krcert.or.kr
Ratos.27136 웜/바이러스 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
_____________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 7 -
․ 레지스트리 삭제
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRun
winpsd = “시스템 폴더”winpsd.exe
․ 관련 파일 삭제
“시스템 폴더”winpsd.exe [27,136 byte] 삭제
“Windows 폴더“rasor38a.dl [27,136 byte]l 삭제
- 2차 감염코드에 대한 대응 조치법은 추후 업데이트 예정