커피닉스, 시스템 엔지니어의 쉼터

웜메일 건수와 주요 웜별 건수 분석

작성일 : 2006/01/01 23:06

글쓴이 : 좋은진호 ( http://coffeenix.net/ )

조회수 : 8137

제  목 : 웜메일 건수와 주요 웜별 건수 분석 작성자 : 좋은진호(truefeel, http://coffeenix.net/ ) 작성일 : 2005.12.29(목) 요즘 순간적으로 메일이 폭증하는 일이 발생하여 원인을 파악해보니 Sober웜이 일시적으로 대량 수신되는 것 때문이었다. 그래서 웜메일 중 웜별로 건수와 비율을 약 4일간의 메일로그를 분석 하여 통계를 내봤다. 해외에서도 많은 양의 메일을 수신하는 서버임을 감안하고 참고하기 바란다. [ mailgraph 통한 메일통계 - 순간 급증을 바로 확인할 수 있다. ] 이 메일서버는 ClamAV를 사용하여 웜메일을 필터링하고 있으며, Win32/Sober.worm.55390 웜(참고 http://info.ahnlab.com/smart2u/virus_detail_2945.html)등 일부 웜 은 필터링하지 못하였다. 웜이 아닌데 필터링했던, 웜인데 필터링 못했던간에 순수하게 ClamAV를 통해 필터링된 건수만으로 통계를 냈고, 웜이름도 ClamAV에서 사용한 명칭을 그대로 따랐다. ClamAV로 필터링된 메일은 아래와 같은 로그가 남으며 메일은 저장없이 버려진다.   log 예) Dec 25 04:23:03 ????? sendmail[28063]: jBOJMwIx028063: to=, delay=00:00:04, pri=225641, stat=virus Worm.Sober.U detected by ClamAV - http://www.clamav.net   1. 웜별 건수 기 간 : 2005.12.25 04:22~29.13:28 (약 4일 9시간) 건 수 : 총 64,696 -------------------  -----  ------- 웜 이름              건수   비율 -------------------  -----  ------- Worm.Sober.U-3       52047 (80.45%) Worm.SomeFool.P       2488 ( 3.85%) Exploit.HTML.IFrame   2453 ( 3.79%) Worm.Sober.U           757 ( 1.17%) Worm.Mytob.U           690 ( 1.07%) Worm.Bagz.D            638 ( 0.97%) Worm.Mytob.T-2         492 ( 0.76%) Worm.SomeFool.AM       455 ( 0.70%) Worm.Maslan.A          454 ( 0.70%) Worm.Mydoom.I          449 ( 0.69%) Worm.Mabutu.A          317 Worm.Mytob.H-1         277 Worm.Bagle.BL          246 Worm.SomeFool.Q        206 Worm.Mytob.C-2         200 Worm.Mytob.BD          161 Worm.Mytob.GH          158 Worm.Mytob.T           127 Worm.Lovgate.X         116 Worm.Mytob.V           105 Worm.SomeFool.Gen-1    102 Worm.Mydoom.H          100 ... 이하 생략 ... -------------------  -----  ------- 2. 웜변형까지 통합한 건수 소버(Sober)웜이 80% 이상으로 대부분을 차지했으며, 다음으로 NetSky(ClamAV에서는 SomeFool 명 사용)이 3.85%을 점유하고 있다. -------------------  -----  ------- 웜 이름              건수   비율 -------------------  -----  ------- Worm.Sober           52844 (81.68%) Worm.SomeFool         3507 ( 5.42%) Worm.Mytob            3090 ( 4.78%) Exploit.HTML.IFrame   2453 ( 3.79%) Worm.Mydoom            684 ( 1.06%) Worm.Bagz              664 ( 1.03%) Worm.Maslan.A          454 ( 0.70%) Worm.Mabutu            380 ( 0.59%) Worm.Bagle             356 ( 0.55%) Worm.Lovgate           131 Worm.Dumaru.A           95 HTML.Phishing.Bank-1    18 Worm.Mimail             10 Trojan.Bagle.BN          6 Worm.Torvil.D            2 Worm.Lebreat.C-1         1 Exploit.IFrame.Gen       1 -------------------  -----  -------

커피닉스, 시스템 엔지니어의 쉼터 / URL : http://coffeenix.net/board_view.php?bd_code=1297