Bagle.69842 웜 분석보고서

Transcription

Bagle.69842 웜 분석보고서

KrCERT-AR-2006-062
http://www.krcert.or.kr
XXXXXXXXXXXX
______________________________________________________________________________
2006. 6. 22
인터넷침해사고대응지원센터 (KISC)
※ 본 보고서의 전부나 일부를 인용시 반드시 [자료: 한국정보보호진흥원(KISA)]를 명시하여 주시기 바랍니다.
____________________________________________________________________________________________
KrCERT-AR-2006-062
XXXXXXXXXXXX
______________________________________________________________________________
□ 개
요
최근 국내에서 암호가 설정되어 있는 압축파일 형태로 웜이 메일을 통하여 유
포되는 피해가 관찰되었다.
이 웜은 감염 시스템 내에서 txt, htm 등 특정 확장명의 파일들을 검색하여 메
일 주소를 추출하며, 자기확산을 위하여 자신의 복제 파일을 암호가 설정되어
있는 압축파일 형태로 발송한다. 메일 내용에는 암호를 해제하기 위한 내용이
표시되며, 사용자가 첨부파일의 압축을 해제하여 실행할 경우 감염되게 된다.
또한, 감염 후 특정 사이트에 접속하여 추가적인 파일을 다운로드 받으려고 시
도한다.
2006.6.22 현재, 국내 외에서 이 웜이 발송하는 유형의 메일 수신이
다수 발견되고 있으므로 주의할 필요가 있다.
o 관련 포트 트래픽 동향
2006.6.22 현재 국내 TCP 25 포트 (SMTP) 트래픽 추이에 이상징후가 없는
것으로 관찰됨
<2006.6.14 ~ 2006.6.22 TCP 25 포트 트래픽 (bps,pps) 변동 추이>
____________________________________________________________________________________________
- 1 -
KrCERT-AR-2006-062
XXXXXXXXXXXX
______________________________________________________________________________
□ 주요 확산 기법
o 확산 방법 및 특이사항
- Bagle.69842는 메일을 발송하여 자신을 전파한다. PC에 저장되어 있는 wab,
txt, msg, htm, shtm, stm, dbx, mbx, mdx, eml, nch, mmf, ods, cfg, asp,
php, pl, wsh, adb, tbb, sht, xls, oft, uin, cgi mht, dhtm, jsp 확장명의 파일
들을 검색하여 메일 주소를 추출한다
메일 발송 시 첨부파일을 암호화 압축한다.
o 웜이 발송하는 메일유형 분석
메일 내용에는 첨부 파일의 압축 해제를 위해 필요한 암호숫자를 알려주는 내
용이 담겨있는데, 웜 제작자는 보안 프로그램에 의해서 자동으로 암호값이 식
별되는 것을 방지하기 위하여 암호숫자 출력을 그림으로 처리하였다
아래 그림은 웜이 발송한 메일내용의 예를 보여준다.
____________________________________________________________________________________________
- 2 -
KrCERT-AR-2006-062
XXXXXXXXXXXX
______________________________________________________________________________
<메일 유형 예1>
<메일 유형 예1>
메일 유형은 웜 코드내에 다음과 같이 하드코딩 되어 있다
아래와 같은 메일을 수신할 경우, 첨부파일을 실행시키지 않도록 주의한다.
- 메일 제목: 아래 중 하나
Alice / Alyce / Andrew / Androw / Androwe / Annes
Anthonie / Anthony / Anthonye / Avice / Bennet
Bennett / Christean / Christian / Constance
Cybil / Daniel / Danyell / Dorithie / Dorothee
Dorothy / Edmond / Edmonde / Edmund / Edward
Edwarde / Elizabeth / Elizabethe / Ellen / Ellyn
Emanual / Emanuel / Emanuell / Ester / Frances
Francis / Fraunces / Gabriell / Geoffraie / George
Grace / Harry / Harrye / Henrie / Henry / Henrye
Hughe / Humphrey / Humphrie / Isabel / Isabell
James / Jeames / Jeffrey / Jeffrye / Joane / Johen
Josias / Judeth / Judith / Judithe / Katherine
Katheryne / Leonard / Leonarde / Margaret / Margarett
Margerie / Margerye / Margret / Margrett / Marie
Martha / Marye / Michael / Mychaell / Nathaniel
Nathaniell / Nathanyell / Nicholas / Nicholaus
Nycholas / Peter / Ralph / Rebecka / Richard
Richarde / Robert / Roberte / Roger / Rycharde
Samuell / Sidney / Sindony / Stephen / Susan
Susanna / Suzanna / Sybell / Sybyll / Syndony
Thomas / Valentyne / William / Winifred
Wynefrede / Wynefreed / Wynnefreede
____________________________________________________________________________________________
- 3 -
KrCERT-AR-2006-062
XXXXXXXXXXXX
______________________________________________________________________________
o 메일 첨부명: 아래의 이름 중 하나
Alice.zip / Alyce.zip / Andrew.zip / Androw.zip
Androwe.zip / Annes.zip / Anthonie.zip / Anthony.zip
Anthonye.zip / Avice.zip / Bennet.zip / Bennett.zip
Christean.zip / Christian.zip / Constance.zip
Cybil.zip / Daniel.zip / Danyell.zip / Dorithie.zip
Dorothee.zip / Dorothy.zip / Edmond.zip / Edmonde.zip
Edmund.zip / Edward.zip / Edwarde.zip / Elizabeth.zip
Elizabethe.zip / Ellen.zip / Ellyn.zip / Emanual.zip
Emanuel.zip / Emanuell.zip / Ester.zip / Frances.zip
Francis.zip / Francis.zip / Fraunces.zip / Gabriell.zip
Geoffraie.zip / George.zip / Grace.zip / Harry.zip
Harrye.zip / Henrie.zip / Henry.zip / Henrye.zip
Hughe.zip / Humphrey.zip / Humphrie.zip / Isabel.zip
Isabell.zip / James.zip / James.zip / Jeames.zip
Jeffrey.zip / Jeffrye.zip / Joane.zip / Johen.zip
Josias.zip / Judeth.zip / Judith.zip / Judithe.zip
Katherine.zip/ Katheryne.zip / Leonard.zip / Leonarde.zip
Margaret.zip / Margarett.zip / Margerie.zip / Margerye.zip
Margret.zip / Margrett.zip / Marie.zip / Martha.zip
Marye.zip / Michael.zip / Mychaell.zip / Nathaniel.zip
Nathaniell.zip / Nathanyell.zip / Nicholas.zip
Nicholaus.zip / Nycholas.zip / Peter.zip / Ralph.zip
Rebecka.zip / Richard.zip / Richarde.zip / Robert.zip
Roberte.zip / Roger.zip / Rycharde.zip / Samuell.zip
Sidney.zip / Sindony.zip / Stephen.zip / Susan.zip
Susanna.zip / Suzanna.zip / Sybell.zip / Sybyll.zip
Syndony.zip / Thomas.zip / Valentyne.zip / William.zip
Winifred.zip / Wynefrede.zip / Wynefreed.zip
/ Wynnefreede.zip
____________________________________________________________________________________________
- 4 -
KrCERT-AR-2006-062
XXXXXXXXXXXX
______________________________________________________________________________
- 메일 내용:
메일내용 관련하여 웜 코드 내에 아래와 같은 형식이 정의되어 있다.
아래 형식은 "To the beloved" , " I love you" 문자열과 조합되어 출력된다.
유형1.
 The password is <img src="cid :%s%s> 
유형2.
 Password -- <img src ="cid: %s.%s"> 
유형3.
 Use password <img src="%s.%s"> to open archive. 
유형4.
 Zip password: <img src="cid : %s.%s> 
____________________________________________________________________________________________
- 5 -
KrCERT-AR-2006-062
XXXXXXXXXXXX
______________________________________________________________________________
유형5.
 archive password: <img src="cid:%s.%s> 
유형6.
 Password - <img src ="cid: %s.%s"> 
유형7.
 Password : <img src ="cid: %s.%s"> 
* 는 html 줄바꿈 태그임.
< img> 는 그림파일을 브라우져에 출력해주는 이미지 태크로써
%s.%s 부분에 숫자가 그려진 이미지 파일명이 삽입되어 사용자 화면에는
위와 같이 숫자 그림이 출력됨.
※ 참고:
악성코드는 공격 대상 메일 중 아래 문자열이 포함되어 있는지 여부를 확인하
여 공격 대상에서 제외시킨다.
____________________________________________________________________________________________
- 6 -
KrCERT-AR-2006-062
XXXXXXXXXXXX
______________________________________________________________________________
“@.” , “.@” , “..” , “rating@” , “f-secur” , “news” , “update” , “anyone@”
“bugs@” , “contract@” , “feste@” , “gold-certs@” ,
“help@” , “info@”
“nobody@” , “noone@” , “ksap” , “admin” , “icrosoft” , “support” , “ntivi”
“unix” , “bsd” , “linux” , “listserv” , “certific”
“sopho” , “@foo” , “@iana”
“free-av” , “@messagelab” , “winzip” , “google” , “winrar” , “samples”
“abuse” , “panda” , “cafee” , “spam” , “pgp” , “@avp” , “noreply”
“local” , “root@” , “postmaster@”
<메일 주소에 특정 문자열이 있는지 여부를 확인>
□ 감염 시 증상
▶ 감염 후 주요 증상
- 감염 시 화면에 Error 라는 그림이 출력.
- smtp.google.com TCP 25 포트로 접속 시도.
- 특정 사이트에 접속하여 악성코드로 추정되는 파일(777.gif)을
다운로드 받아 실행.
- 특정 사이트에 접속 및 수신된 데이터를 elist.xpt 이름으로 저장.
- c:\Documents and Settings\winxp\Application data\hidn
폴더에 hidn.exe 및 m_hook.sys 악성파일 생성/저장.
- 안전모드로 부팅이 불가능하도록 레지스트리 삭제.
재부팅 시 자동로딩 위한 레지스트리 추가
- 일부 보안 관련 프로그램을 종료시킴
____________________________________________________________________________________________
- 7 -
KrCERT-AR-2006-062
XXXXXXXXXXXX
______________________________________________________________________________
▶ 상세
- 감염 시 c:\ 폴더에 error.gif 그림파일이 열린다.
- smtp.google.com에 TCP 25 포트로 접속을 시도한다.
2006.6.22 현재, 접속 후 특별한 행위는 관찰되지 않고 있다.
- 특정 사이트에 접속하여 777.gif 파일 다운로드를 시도한다. 다운로드 한
파일은 시스템 폴더에 re_file.exe 이름으로 저장된 후 실행된다.
※ 777.jpg 는 악성코드 인 것으로 추정되나, 테스트 시간대에는 파일 다운로드가 관찰
되지 않아 확인이 불가능하였다.
____________________________________________________________________________________________
- 8 -
KrCERT-AR-2006-062
XXXXXXXXXXXX
______________________________________________________________________________
접속사이트를 정리하면 다음과 같다.
http://ujscie.one.pl/777.gif
http://1point2.iae.nl/777.gif
http://appaloosa.no/777.gif
http://apromed.com/777.gif
http://arborfolia.com/777.gif
http://pawlacz.com/777.gif
http://areal-realt.ru/777.gif
http://bitel.ru/777.gif
http://yetii.no-ip.com/777.gif
http://art4u1.superhost.pl/777.gif
http://www.artbed.pl/777.gif
http://art-bizar.foxnet.pl/777.gif
http://www.jonogueira.com/777.gif
http://asdesign.cz/777.gif
http://ftp-dom.earthlink.net/777.gif
http://www.aureaorodeley.com/777.gif
http://www.autoekb.ru/777.gif
http://www.autovorota.ru/777.gif
____________________________________________________________________________________________
- 9 -
KrCERT-AR-2006-062
XXXXXXXXXXXX
______________________________________________________________________________
http://avenue.ee/777.gif
http://www.avinpharma.ru/777.gif
http://ouarzazateservices.com/777.gif
http://stats-adf.altadis.com/777.gif
http://bartex-cit.com.pl/777.gif
http://bazarbekr.sk/777.gif
http://gnu.univ.gda.pl/777.gif
http://bid-usa.com/777.gif
http://biliskov.com/777.gif
http://biomedpel.cz/777.gif
http://blackbull.cz/777.gif
http://bohuminsko.cz/777.gif
http://bonsai-world.com.au/777.gif
http://bpsbillboards.com/777.gif
http://cadinformatics.com/777.gif
http://canecaecia.com/777.gif
http://www.castnetnultimedia.com/777.gif
http://compucel.com/777.gif
http://continentalcarbonindia.com/777.gif
http://ceramax.co.kr/777.gif
http://prime.gushi.org/777.gif
http://www.chapisteriadaniel.com/777.gif
http://charlesspaans.com/777.gif
http://chatsk.wz.cz/777.gif
http://www.chittychat.com/777.gif
http://checkalertusa.com/777.gif
http://cibernegocios.com.ar/777.gif
http://5050clothing.com/777.gif
http://cof666.shockonline.net/777.gif
http://comaxtechnologies.net/777.gif
http://concellodesandias.com/777.gif
http://www.cort.ru/777.gif
http://donchef.com/777.gif
http://www.crfj.com/777.gif
http://kremz.ru/777.gif
http://dev.jintek.com/777.gif
http://foxvcoin.com/777.gif
http://uwua132.org/777.gif
http://v-v-kopretiny.ic.cz/777.gif
http://erich-kaestner-schule-donaueschingen.de/777.gif
http://vanvakfi.com/777.gif
http://axelero.hu/777.gif
http://kisalfold.com/777.gif
http://vega-sps.com/777.gif
http://vidus.ru/777.gif
http://viralstrategies.com/777.gif
http://svatba.viskot.cz/777.gif
http://Vivamodelhobby.com/777.gif
http://vkinfotech.com/777.gif
http://vytukas.com/777.gif
http://waisenhaus-kenya.ch/777.gif
http://watsrisuphan.org/777.gif
http://www.ag.ohio-state.edu/777.gif
http://wbecanada.com/777.gif
http://calamarco.com/777.gif
http://vproinc.com/777.gif
http://grupdogus.de/777.gif
____________________________________________________________________________________________
- 10 -
KrCERT-AR-2006-062
XXXXXXXXXXXX
______________________________________________________________________________
http://knickimbit.de/777.gif
http://dogoodesign.ch/777.gif
http://systemforex.de/777.gif
http://zebrachina.net/777.gif
http://www.walsch.de/777.gif
http://hotchillishop.de/777.gif
http://innovation.ojom.net/777.gif
http://massgroup.de/777.gif
http://web-comp.hu/777.gif
http://webfull.com/777.gif
http://welvo.com/777.gif
http://www.ag.ohio-state.edu/777.gif
http://poliklinika-vajnorska.sk/777.gif
http://wvpilots.org/777.gif
http://www.kersten.de/777.gif
http://www.kljbwadersloh.de/777.gif
http://www.voov.de/777.gif
http://www.wchat.cz/777.gif
http://www.wg-aufbau-bautzen.de/777.gif
http://www.wzhuate.com/777.gif
http://zsnabreznaknm.sk/777.gif
http://xotravel.ru/777.gif
http://ilikesimple.com/777.gif
http://yeniguntugla.com/777.gif
- 또한, 특정사이트에 접속하여 데이터를 다운로드 받아 “시스템폴더” 내에
elist.xpt 파일이름으로 저장한다.
____________________________________________________________________________________________
- 11 -
KrCERT-AR-2006-062
XXXXXXXXXXXX
______________________________________________________________________________
접속사이트 리스트는 다음과 같다.
http://www.titanmotors.com/images/1/eml.php
http://veranmaisala.com/1/eml.php
http://wklight.nazwa.pl/1/eml.php
http://yongsan24.co.kr/1/eml.php
http://accesible.cl/1/eml.php
http://hotelesalba.com/1/eml.php
http://amdlady.com/1/eml.php
http://inca.dnetsolution.net/1/eml.php
http://www.auraura.com/1/eml.php
http://avataresgratis.com/1/eml.php
http://beyoglu.com.tr/1/eml.php
http://brandshock.com/1/eml.php
http://www.buydigital.co.kr/1/eml.php
http://camaramafra.sc.gov.br/1/eml.php
http://camposequipamentos.com.br/1/eml.php
http://cbradio.sos.pl/1/eml.php
http://c-d-c.com.au/1/eml.php
http://www.klanpl.com/1/eml.php
http://coparefrescos.stantonstreetgroup.com/1/eml.php
http://creainspire.com/1/eml.php
http://desenjoi.com.br/1/eml.php
http://www.inprofile.gr/1/eml.php
http://www.diem.cl/1/eml.php
http://www.discotecapuzzle.com/1/eml.php
- 악성 파일 생성
c:\Documents and Settings\winxp\Application data\hidn 폴더를 숨김 속
성으로 생성한 후 웜 파일을 해당 폴더 내로 hidn.exe 이름으로 복사한다.
<숨김 속성으로 폴더 생성>
<웜 파일을 hidn.exe 파일명으로 복사>
____________________________________________________________________________________________
- 12 -
KrCERT-AR-2006-062
XXXXXXXXXXXX
______________________________________________________________________________
- 레지스트리 변경
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
레지스트리 폴더를 삭제하여, Safe 모드부팅을 불가능하게 한다.
웜 감염 후 안전모드로 부팅하면 아래와 같은 부팅 에러가 발생한다.
<감염 후 안전모드 부팅 예>
재 부팅 시에 자동으로 로딩되기 위해서
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Run 에
drv_st_key" = "%UserProfile%\Application Data\hidn\hidn.exe "
를 등록한다.
< 레지스트리 등록 루틴>
- 아래와 같은 프로그램을 종료 시킨다.
a2guard.exe, aavshield.exe, AckWin32.exe, ADVCHK.EXE
AhnSD.exe, airdefense.exe, ALERTSVC.EXE, ALMon.exe, ALOGSERV.EXE
ALsvc.exe, amon.exe, Anti-Trojan.exe, AntiVirScheduler,
AntiVirService.ANTS.exe,APVXDWIN.EXE, Armor2net.exe, ashAvast.exe,
ashDisp.exe, ashEnhcd.exe, ashMaiSv.exe, ashPopWz.exe, ashServ.exe
ashSimpl.exe, ashSkPck.exe, ashWebSv.exe, aswUpdSv.exe, ATCON.EXE
____________________________________________________________________________________________
- 13 -
KrCERT-AR-2006-062
XXXXXXXXXXXX
______________________________________________________________________________
ATUPDATER.EXE, ATWATCH.EXE, AUPDATE.EXE, AUTODOWN.EXE,
AUTOTRACE.EXE, AUTOUPDATE.EXE, avciman.exe, Avconsol.exe,
AVENGINE.EXE, avgamsvr.exe, avgcc.exe,AVGCC32.EXE, AVGCTRL.EXE,
avgemc.exe, avgfwsrv.exe, AVGNT.EXE, AVGSERV.EXE, AVGUARD.EXE
, avgupsvc.exe, avinitnt.exe,AvkServ.exe
AVKService.exe, AVKWCtl.exe, AVP.EXE, AVP32.EXE, avpcc.exe, avpm.exe
AVPUPD.EXE, AVSCHED32.EXE, avsynmgr.exe, AVWUPD32.EXE, AVWUPSRV.EXE
AVXMONITOR9X.EXE, AVXMONITORNT.EXE, AVXQUAR.EXE, BackWeb-4476822.exe
bdmcon.exe, bdnews.exe, bdoesrv.exe, bdss.exe, bdsubmit.exe
bdswitch.exe, blackd.exe, blackice.exe, cafix.exe, ccApp.exe
ccEvtMgr.exe, ccProxy.exe, ccSetMgr.exe, CFIAUDIT.EXE, ClamTray.exe,
ClamWin.exe, Claw95.exe, Claw95cf.exe, cleaner.exe, cleaner3.exe,
CliSvc.exe, CMGrdian.exe, cpd.exe, DefWatch.exe, DOORS.EXE, DrVirus.exe
drwadins.exe, drweb32w.exe, drwebscd.exe, DRWEBUPW.EXE, ESCANH95.EXE
ESCANHNT.EXE, ewidoctrl.exe, EzAntivirusRegistrationCheck.exe,
F-AGNT95.EXE, F-PROT95.EXE, F-Sched.exe, F-StopW.EXE, FAMEH32.EXE,
FAST.EXE, FCH32.EXE, FireSvc.exe, FireTray.exe, FIREWALL.EXE,
fpavupdm.exe, freshclam.exe, FRW.exe,fsav32.exe,fsavgui.exe,fsbwsys.exe,fsdfwd.exe,
FSGK32.exe,fsgk32st.exe,fsguiexe,exe,FSM32.exe,FSMA32.exe,FSMB32
.exe,fspex.exe,fssm32.exe,gcasDtServ.exe,gcasServ.exe,GIANTAntiS
pywareMain.exe,GIANTAntiSpywareUpdater.exe,GUARD.exe,GUARDGUI.EX
E.GuardNT.exe,HRegMon.exe,Hrres.exe,HSockPE.exe,HUpdate.exe,iama
pp.exe,iamserv.exe,ICLOAD95.exe,ICLOADNT.exe,ICMON.exe,ICSSUPPNT
.exe,ICSUPP95.exe,ICSUPPNT.exe,IFACE.exe,INETUPD.exe,InocIT.exe,
InoRpc.exe,InoRT.exe,InoTask.exe,InoUpTNG.exe,IOMON98.exe,isafe.
exe,ISATRAY.exe,ISRV95.exe,ISSVC.exe,JEDI.exe,KAV.exe,kavmm.exe,
KAVPF.exe,KavPFW.exe,KAVStart.exe,KAVSvc.exe,KAVSvcUI.exe,KMailM
on.exe,KPfwSvc.exe,KWatch.exe,livesrv.exe,LOCKDOWN2000.exe,LogWa
tNT.exe,lpfw.exe,LUALL.exe,LUCOMSERVER.exe,Luupdate.exe,MCAGENT.
exe,mcmnhdlr.exe,mcregwiz.exe,Mcshield.exe,MCUPDATE.exe,mcvsshld
.exe,MINILOG.exe,MONITOR.exe,MonSysNT.exe,MOOLIVE.exe,MpEng.exe,
mpssvc.exe,MSMPSVC.exe,myAgtSvc.exe,myagttry.exe,navapsvc.exe,NA
VAPW32.exe,NavLu32.exe,NAVW32.exe,NDD32.exe,NeoWatchLog.exe,NeoW
atchTray.exe,NISSERV.NISUM.exe,NMAIN.exe,nod32.exe,nod32krn.exe,
nod32kui.exe,NORMIST.exe,notstart.exe,npavtray.exe,NPFMNTOR.exe,
npfmsg.exe,NPROTECT.exe,NSCHED32.exe,NSMdtr.exe,NssServ.exe,NssT
ray.exe,ntrtscan.exe,NTXconfig.exe,NUPGRADE.exe,NVC95.exe,Nvcod.
exe,Nvcte.exe,Nvcut.exe,NWService.exe,OfcPfwSvc.exe,OUTPOST.exe,
PAV.exe,PavFires.exe,PavFnSvr.exe,Pavkre.exe,PavProt.exe,pavProx
y.exe,pavprsrv.exe,pavsrv51.exe,PAVSS.exe,pccguide.exe,PCCIOMON.
exe,pccntmon.exe,PCCPFW.exe,PcCtlCom.exe,PCTAV.exe,PERSFW.exe,pe
rtsk.exe,PERVAC.exe,PNMSRV.exe,POP3TRAP.exe,POPROXY.exe,prevsrv.
exe,PsImSvc.exe,QHM32.exe,QHONLINE.exe,QHONSVC.exe,QHPF.exe,qhws
csvc.exe,RavMon.exe,RavTimer.exe,Realmon.exe,REALMON95.exe,Rescu
e.exe,rfwmain.exe,Rtvscan.exe,RTVSCN95.exe,RuLaunch.exe,SAVAdmin
Service.exe,SAVMain.exe,savprogress.exe,SAVScan.exe,SCAN32.exe,S
____________________________________________________________________________________________
- 14 -
KrCERT-AR-2006-062
XXXXXXXXXXXX
______________________________________________________________________________
canningProcess.exe,sched.exe,sdhelp.exe,SERVIC~1.exe,SHSTAT.exe,
SiteCli.exe,smc.exe,SNDSrvc.exe,SPBBCSvc.exe,SPHINX.exe,spiderml
.exe,spidernt.exe,Spiderui.exe,SpybotSD.exe,SPYXX.exe,SS3EDIT.EX
E.stopsignav.exe,swAgent.exe,swdoctor.exe,SWNETSUP.exe,symlcsvc.
exe,SymProxySvc.exe,SymSPort.exe,SymWSC.exe,SYNMGR.exe,TAUMON.EX
E.TBMon.exe,TC.exe,tca.exe,TCM.exe,TDS-3.exe,TeaTimer.exe,TFAK.E
XE.THAV.exe,THSM.exe,Tmas.exe,tmlisten.exe,Tmntsrv.exe,TmPfw.exe
.tmproxy.exe,TNBUtil.exe,TRJSCAN.exe,Up2Date.exe,UPDATE.exe,Upda
terUI.exe,upgrepl.exe,Vba32ECM.exe,Vba32ifs.exe,vba32ldr.exe,Vba
32PP3.exe,VBSNTW.exe,vchk.exe,vcrmon.exe,VetTray.exe,VirusKeeper
.exe,VPTRAY.exe,vrfwsvc.exe,VRMONNT.exe,vrmonsvc.exe,vrrw32.exe,
VSECOMR.exe,Vshwin32.exe,vsmon.exe,vsserv.exe,VsStat.exe,WATCHDO
G.exe,WebProxy.exe,Webscanx.exe,WEBTRAP.exe,WGFE95.exe,Winaw32.e
xe.winroute.exe,winss.exe,winssnotify.exe,WRADMIN.exe,WRCTRL.EXE
.xcommsvr.exe,zatutor.exe,ZAUINST.exe,zlclient.exe,zonealarm.exe
._AVP32.exe,_AVPCC.exe,_AVPM.exe
<웜 내부에 종료 대상 프로그램이 하드코딩 됨>
□ 피해 현황 및 위험 요소
o 국내외에서 이 웜이 발송하는 유형의 메일들이 다수 발견되고 있어 주의가
필요하다.
____________________________________________________________________________________________
- 15 -
KrCERT-AR-2006-062
XXXXXXXXXXXX
______________________________________________________________________________
□ 사전 피해 예방 방법
o
Bagle.69842가 발송하는 유형의 메일을 수신 할 경우, 첨부파일을 열어보지
말고 삭제하도록 한다.
사용자가 웜이 발송한 메일첨부 파일을 열어보지
않을 경우 감염되지 않는다. 백신을 최신으로 업데이트하며 이 메일 기능
을 활성화하도록 한다.
____________________________________________________________________________________________
- 16 -

Bagle.69842 웜 분석보고서

Transcription

Similar documents

disabling andtivirus programs

MS by LATEX (http://jupiter.hallym.ac.kr) 2016 1 21

Product Reference Guide - medicalmentor

volume 3 number 2

배정환 - 한국보건산업진흥원

W7100 Data Sheet

Solaris auf dem Laptop