Ãâó: ¾Èö¼ö ¿¬±¸¼Ò
|
|
|
|
|
|
|
Win32/Smibag.worm. 163840 |
|
|
|
|
|
´Ù¸¥ À̸§ |
|
|
°¨¿°½Ã À§Çèµµ |
5µî±Þ(ÁÖÀÇ)
|
|
È®»ê À§Çèµµ |
3µî±Þ |
ÇöÀç È®»êµµ |
1µî±Þ |
|
Á¾·ù |
¿ú |
°¨¿° ÇüÅ |
½ÇÇàÆÄÀÏ |
|
°¨¿° OS |
À©µµ¿ì |
°¨¿° °æ·Î |
ÆÄÀϽÇÇà |
|
ÃÖÃʹ߰ßÀÏ |
2003-09-26 |
±¹³»¹ß°ßÀÏ |
2003-09-26 |
|
ƯÁ¤È°µ¿ÀÏ |
ƯÁ¤ÀÏ È°µ¿ ¾øÀ½ |
Á¦ÀÛ±¹ |
Çѱ¹ |
|
Áø´Ü °¡´É ¿£Áø |
2003.09.26.00 |
Ä¡·á °¡´É ¿£Áø |
2003.09.26.00 |
|
|
¡Ø Ç¥±âµÈ ³¯Â¥ ÀÌÈÄÀÇ ¿£ÁøÀ¸·Î Áø´Ü ¹× Ä¡·á°¡
°¡´ÉÇÕ´Ï´Ù. |
|
Áõ»ó |
- MSN Messenger ·Î SMB.EXE ÆÄÀÏÀÌ ÀÚµ¿ ÀüÆĵȴÙ.
|
|
³»¿ë |
Win32/Smibag.worm.163840 ´Â 2003³â 9¿ù 26ÀÏ
¿ÀÀüºÎÅÍ ¾Èö¼ö¿¬±¸¼Ò´Â ´Ù¼öÀÇ »ç¿ëÀÚ¿¡°Ô »ùÇðú ½Å°í³»¿ëÀ» Á¢¼ö ¹Þ¾Ò´Ù. ¶ÇÇÑ ÀÌ ¿úÀº ±âÁ¸¿¡ MSN Messenger ·Î
ÀüÆÄµÇ¸ç ¼ºÀÎ »çÀÌÆ® ±¤°í¸ñÀûÀ¸·Î Á¦ÀÛµÈ Win32/Sinmsn.worm.20480 ÇÏ°í ¸Å¿ì À¯»çÇÏ´Ù. ÀÌ ¿ú
¶ÇÇÑ ¼ºÀÎ »çÀÌÆ®¿¡¼ ±¤°í¸ñÀûÀ¸·Î Á¦ÀÛµÈ °ÍÀ¸·Î º¸ÀδÙ.
¿úÀº MSN Messenger ·Î
SMB.EXE(163,840 ¹ÙÀÌÆ®) ¶õ ÆÄÀϸíÀ¸·Î ÀüÆĵȴÙ. Áï, »ç¿ëÀÚ°¡ ´Ù¸¥ »ó´ë¹æÀ¸·ÎºÎÅÍ ¿Â ÆÄÀÏÀ» ¹Þ´Â â¿¡¼
ÆÄÀÏÀ» ¹ÞÀº ÈÄ ½ÇÇàÇϸé MSN Messenger ¿¡ µî·ÏµÈ »ç¿ëÀÚÁß ¿Â¶óÀÎ »ç¿ëÀڵ鿡°Ô ÀÚ½ÅÀ» ÀüÆÄÇÑ´Ù. ½ÇÇàÇϸé
µµ½ºÃ¢ÀÌ Àá±ñ º¸¿´´Ù°¡ »ç¶óÁö´Âµ¥ ÀÌ´Â ¿ú ³»ºÎ¿¡ ¾ÐÃàµÈ ÇüÅ·Π°¡Áö°í ÀÖ´Â ÆÄÀÏÀ» ÇØÁ¦ÇÏ´Â °úÁ¤ÀÌ´Ù. ¾ÐÃàÀÌ ÇØÁ¦µÈ
ÆÄÀϵéÀº C: ¿Í À©µµ¿ì ½Ã½ºÅÛ Æú´õ¿¡ º¹»çµÈ ÈÄ ·¹Áö½ºÆ®¸®¿¡ ÀÚ½ÅÀ» Ãß°¡ÇÏ¿© ¼ºÀÎ »çÀÌÆ® À¥ ÆäÀÌÁö¸¦ ¶ç¿ì´Â°ÍÀ¸·Î
ÃßÁ¤µÈ´Ù.
- ½ÇÇàÈÄ Áõ»ó
smb.exe(163,840 ¹ÙÀÌÆ®)´Â MSN ¸Þ½ÅÀú·Î ÀüÆÄµÇ¸ç °ü·Ã ÆÄÀÏÀ» Æ÷ÇÔÇÏ´Â ¼³Ä¡
ÇÁ·Î±×·¥(µå·ÓÆÛ, Dropper)À¸·Î ZIP ÆÄÀÏÀ» Ǫ´Â uz.exe(50,688 ¹ÙÀÌÆ®) ÆÄÀÏ°ú ext.zip ÆÄÀÏÀ»
Æ÷ÇÔÇÏ°í ÀÖ´Ù. ext.zip ÆÄÀÏÀº admagic.exe, atl.dll, msnVC.exe, raw32x.dll,
sm.dll ÆÄÀÏÀ» ¾ÐÃàÇÏ°í ÀÖ´Ù.
smb.exe ÆÄÀÏÀ» ½ÇÇàÇϸé ȸ鿡 Àá±ñ âÀÌ ¶¹´Ù°¡ »ç¶óÁö´Âµ¥ ÀÌ´Â uz.exe·Î
ext.zip ÆÄÀÏÀÇ ¾ÐÃàÀ» Ǫ´Â °úÁ¤ÀÌ´Ù. msnVC.exe ÆÄÀÏÀº ¼³Ä¡°úÁ¤¿¡¼ ½ÇÇàµÇ´Âµ¥ test.txt¸¦ ¸¸µå´Â
°ÍÀ¸·Î º¸ÀδÙ. msnVC.exe ÆÄÀÏÀº smb.exe°¡ ½ÇÇàµÇ°í ³ ÈÄ Áö¿öÁø´Ù. msnVC.exe ÆÄÀÏÀº V3¿¡¼
Win-Trojan/Smibag.28672·Î Áø´ÜµÇ¸ç °¨¿°µÈ ½Ã½ºÅÛ¿¡ Á¸ÀçÇÏÁö ¾ÊÀ» ¼ö ÀÖ´Ù.
C µå¶óÀ̺ê
·çÆ®(C:)¿¡ ´ÙÀ½ ÆÄÀÏÀ» ¸¸µç´Ù.
- smb.exe : ¿ú º»Ã¼. V3¿¡¼
Win32/Smibag.worm.163840À¸·Î Áø´Ü - admagic.exe(90,112 ¹ÙÀÌÆ®) : Æ®·ÎÀ̸ñ¸¶.
V3¿¡¼ Win-Trojan/Smibag.90112·Î Áø´Ü - test.txt (Å×½ºÆ®¿¡ 0 ¹ÙÀÌÆ®. ÇöÀç º¸°íµÈ
¹Ù·Î´Â ¸ðµÎ 0 ¹ÙÀÌÆ®) :
admagic.exe ÆÄÀÏÀº ¼ºÀÎ »çÀÌÆ® ÁÖ¼Ò µîÀ» Æ÷ÇÔÇÏ°í ÀÖ´Â ±¤°í ÇÁ·Î±×·¥À¸·Î
ÃßÁ¤µÇ¸ç ¼ºÀÎ »çÀÌÆ® ±¤°í ¸ñÀûÀ¸·Î »ç¿ëµÇ´Â °ÍÀ¸·Î ÃßÁ¤µÈ´Ù.
À©µµ¿ì ½Ã½ºÅÛ Æú´õ(ÀϹÝÀûÀ¸·Î C:WINTSystem32,
C:WindowsSystem32 )¿¡ ´ÙÀ½ ÆÄÀÏÀÌ ¸¸µé¾î Áø´Ù.
- atl.dll ( 69,632 ¹ÙÀÌÆ®
) : V3 ¿¡¼ Áø´ÜÇÏÁö ¾ÊÀ½ - raw32x.dll ( 121 ¹ÙÀÌÆ® ) : V3 ¿¡¼ Áø´ÜÇÏÁö ¾ÊÀ½ -
sm.dll ( 57,344 ¹ÙÀÌÆ® ) : V3¿¡¼ Áø´ÜÇÏÁö ¾ÊÀ½ - uz.exe ( 50,688 ¹ÙÀÌÆ® ) :
¾ÐÃàÀ» Ǫ´Â Á¤»ó ÆÄÀÏ. V3 Á¦Ç°±º¿¡¼ Áø´ÜÇÏÁö ¾ÊÀ½
´ÙÀ½ ·¹Áö½ºÆ®¸®¿¡ admagic.exe ÆÄÀÏÀ» µî·ÏÇØ À©µµ¿ì ½ÃÀ۽à ÀÚµ¿ ½ÇÇàµÇ°Ô ÇÑ´Ù.
HKEY_LOCAL_MACHINE SOFTWARE
Microsoft
Windows
CurrentVersion
Run
svchost = admagic.exe <- µî·Ï
ÀÌ Á¤º¸´Â 2003³â 9¿ù26ÀÏ 09½Ã35ºÐ¿¡ ÃÖÃÊ·Î ÀÛ¼ºµÇ¾úÀ¸¸ç 2003³â 9¿ù26ÀÏ
11½Ã10ºÐ¿¡ ÃÖÁ¾¼öÁ¤ µÇ¾ú´Ù. |
|
Ä¡·á¹æ¹ý |
* SMB.EXE ÆÄÀÏÀ» ¹Þ´Â ¸Þ½ÃÁö âÀÌ º¸¿©Áö´Â °æ¿ì ÆÄÀÏÀ» ¹ÞÁö ¸»°í
°ÅºÎ ¶Ç´Â âÀ» ´Ý´Â´Ù.
* 2003³â 9¿ù26ÀÏÀÚ ±ä±Þ¿£ÁøÀ¸·Î Áø´Ü, Ä¡·á(»èÁ¦)°¡ °¡´ÉÇÏ´Ù.
* V3¸¦ »ç¿ëÇÏÁö ¾Ê°í ¼öµ¿À¸·Î Á¦°ÅÇÏ·Á¸é ¾Æ·¡¿Í °°Àº ¹æ¹ýÀ¸·Î Á¦°ÅÇÑ´Ù.
- ¼öµ¿ Á¦°Å¹æ¹ý
* À©µµ¿ì 2000, XP
1.
crtl+alt+del Å°¸¦ µ¿½Ã¿¡ ´·¯ ÀÛ¾÷ °ü¸®ÀÚ¸¦ ¶ç¿î´Ù.
2. ÇÁ·Î¼¼½º ¸Þ´º¸¦ ¼±ÅÃÇÑ´Ù.
3. ´ÙÀ½ÀÇ ±×¸²¿¡ º¸¿©Áö´Â admagic.exe ¸¦ °Á¦Á¾·á ÇÑ´Ù.
4. C µå¶óÀÌºê ·çÆ®ÀÇ ´ÙÀ½ ÆÄÀÏÀ» »èÁ¦ÇÑ´Ù.
- smb.exe -
admagic.exe
5. ·¹Áö½ºÆ®¸® ÆíÁý±â(Regedit)¸¦ ½ÇÇàÇÏ¿© svchost °ªÀ» »èÁ¦ÇÑ´Ù.
HKEY_LOCAL_MACHINE SOFTWARE
Microsoft
Windows
CurrentVersion
Run
svchost = admagic.exe <- »èÁ¦
| |
|
|
ÀúÈñ ȸ»ç¿¡ ÆÛÁ®¼ °í»ýÇϳ׿©. ±×³É º¸½Ã°í ÂüÁ¶ÇϽöó°í ¿Ã¸³´Ï´Ù.
¹ÙÀÌ·¯½º Á¶½ÉÇϼ¼¿ä