커피닉스, 시스템 엔지니어의 쉼터 :: 주제 보기

커피향이 나는 *NIX
커피닉스
시스템/네트웍/보안을 다루는 곳

FAQ

검색

멤버리스트

사용자 그룹

사용자 등록하기

개인 정보

비공개 메시지를 확인하려면 로그인하십시오

로그인

가입없이 누구나 글을 쓸 수 있습니다. 공지사항에 대한 댓글까지도..

BBS >> 설치, 운영 Q&A | 네트웍, 보안 Q&A | 일반 Q&A || 정보마당 | AWS || 자유게시판 | 구인구직 || 공지사항 | 의견제시

Welchia.B 웜 주의

커피닉스, 시스템 엔지니어의 쉼터 게시판 인덱스 -> *NIX / IT 정보

이전 주제 보기 :: 다음 주제 보기

글쓴이

메시지

truefeel
카페 관리자

가입: 2003년 7월 24일
올린 글: 1277
위치: 대한민국

올려짐: 2004.2.14 토, 12:19 am 주제: Welchia.B 웜 주의

어제 아는 분의 PC에서 노턴 안티에서 웰치아 웜이 뜨길래 작년 여름에 나왔던 블래스터웜의 변종 웰치아라고 생각을 했습니다.
그런데 안철수연구소 홈을 보니 이게 또다른 변종인 웰치아.B 웜으로 12일에 국내에서 처음으로 발견되었습니다.

자세한 것은 http://info.ahnlab.com/smart2u/virus_detail_1312.html 에 있습니다.
윈도우즈 패치만 하면 웜에 걸리지도 않으니 아직 않하신 분은 꼭 하세요.

코드:

Win32/Welchia.worm.12800 은 기존에 알려진 Win32/Welchia.worm.10240 의 변형으로 안철수연구소는 몇건의 고객문의를 접수 받았다.

웜은 취약점이 있는 시스템에 접속한 경우 특정한 경로에 웜 파일을 복사해둔다. 그리고 자신을 서비스로 등록해두어 다음번 부팅시 마다 자동으로 실행되도록 해둔다. 웜은 기존에 알려진 Win32/MyDoom.worm.22528 과 Win32/MyDoom.worm.29184 등이 시스템에 있다면 파일 삭제 및 관련 레지스트리 값도 삭제 및 복구한다. 또한 특정일과 특정 언어의 OS를 확인후 자신을 삭제하거나 계속 실행되기도 한다.

- 전파방법 및 대상

웜은 다음의 보안상 취약점을 이용하여 전파된다.

- Microsoft Security Bulletin MS03-007 : WebDAV 취약점
- Microsoft Security Bulletin MS03-026 / MS03-039 : RPC DCOM 취약점
- Microsoft Security Bulletin MS03-049 : 워크스테이션 서비스의 버퍼오버런 취약점

전파시 조건은 다음과 같은데 웜은 실행될 때 위 취약점중 하나를 이용하여 자신을 전파한다.

- WebDAV 취약점 이용시 :

랜덤한 IP를 대상으로 TCP/80 포트를 향해 공격시도

- RPC DCOM 취약점 이용시 :

자신의 IP가 A.B.C.D라면 A.B+1.0.1 부터 TCP/135 포트를 향해 공격시도

- 워크스테이션 서비스 취약점 이용시 :

랜덤한 IP를 대상으로 TCP/445 포트를 향해 공격시도

웜은 위와 같은 공격방식으로 초당 40∼50개의 패킷을 내보내게 된다.

- 실행후 증상

위와 같은 방식으로 공격에 성공하여 실행되거나 감염된 웜이 실행되면 먼저 다음과 같은 Mutex를 생성하여 자신이 중복실행되는 것을 방지한다.

- WksPatch_Mutex

그리고 웜 자신을 다음의 폴더에 복사해두고, (윈도우 시스템 폴더는 일반적으로 c:\winnt\system32,
c:\windows\system32

- C:\윈도우 시스템 폴더\drivers\svchost.exe

웜의 크기는 12,800 바이트이며 실행압축된 형태이다.

그리고 다음과 같이 자신을 서비스로 등록하여 다음번 부팅시에도 자동으로 실행되도록 한다.

1.
HKEY_LOCAL_MACHINE\
SYSTEM\
ControlSet001\
Services\
WksPatch

2,
HKEY_LOCAL_MACHINE\
SYSTEM\
CurrentControlSet\
Services\
WksPatch

- 서비스명 = WksPatch
- 디스플레이명 = Network Accounts

이중 디스플레이명은 다음과 같은 문자열을 조합하여 일정하지는 않다.

- License
- Network
- Performance
- Routing
- Remote
- Security
- System
- Browser

- Event
- Accounts
- Procedure
- Manager
- Logging
- Internet

- Client
- Messaging
- Sharing
- Provider

예) Network Accounts

- 그외 증상

웜은 시스템에 Win32/MyDoom.worm.22528 과 Win32/MyDoom.worm.29184 가 있다면 다음과 같은 파일과 레지스트리를 삭제하고 복구한다.

- ctfmon.dll
- Explorer.exe
- shimgapi.dll
- TaskMon.exe

Software\Microsoft\Windows\CurrentVersion\Run

- Explorer
- TaskMon

\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 의 내용을
%SystemRoot%\System32\webcheck.dll <- 이 값으로 복구

그리고 Win32/MyDoom.worm.29184 에 의해 변형되었던 hosts 파일의 내용도 다음의 내용처럼 수정해둔다.

- 127.0.0.1 localhost

웜은 시스템의 코드페이지(0xA403)를 체크하여 일본어 윈도우 라면 특정한 레지스트리 값을 체크하여 다음의 경로의

- iisHelp
- Virtual Roots

아래의 확장자의 파일들에 대해서

- .shtml
- .shtm
- .stm
- .cgi
- .php
- .html
- .htm
- .asp

다음의 내용으로 겹쳐쓰기를 한다. 아래의 텍스트는 웜에 내부에 HTML 형식으로 포함되어 있다.

LET HISTORY TELL FUTURE !

1931.9.18
1937.7.7
1937.12.13 300,000 !

1941.12.7
1945.8.6 Little boy
1945.8.9 Fatso

1945.8.15
Let history tell future !

웜은 또한 시스템의 코드페이지와 윈도우 버전을 체크하여 다음의 언어의 윈도우라면

- 한국어
- 중국어
- 영문

다음의 취약점에 해당하는 보안패치를 내려받아 옵션을 이용하여 사용자 모르게 설치를 해둔다.

- Microsoft Security Bulletin MS03-043 : 메신저 서비스 버퍼오버런 취약점
- Microsoft Security Bulletin MS03-049 : 워크스테이션 서비스의 버퍼오버런 취약점

웜은 시스템날짜를 체크하여 2004년 6월1일 (포함) 이후에 실행되면 자신을 삭제한다.

* 블라스터 웜의 변종인 웰시아웜 확산 경고 http://coffeenix.net/bbs/viewtopic.php?t=22 (2003.8.20)

위로

이전 글 표시:

	커피닉스, 시스템 엔지니어의 쉼터 게시판 인덱스 -> *NIX / IT 정보	시간대: GMT + 9 시간(한국)
페이지 1 중 1

새로운 주제를 올릴 수 있습니다
답글을 올릴 수 있습니다
주제를 수정할 수 없습니다
올린 글을 삭제할 수 없습니다
투표를 할 수 없습니다