커피닉스, 시스템 엔지니어의 쉼터 - 커피향이 나는 LINUX/UNIX 세계

글쓴이 : 좋은진호 (

[ 이전화면 / 수정 ] 비밀번호 :

제 목 : 웜메일 건수와 주요 웜별 건수 분석
작성자 : 좋은진호(truefeel, http://coffeenix.net/ )
작성일 : 2005.12.29(목)

요즘 순간적으로 메일이 폭증하는 일이 발생하여 원인을 파악해보니 Sober웜이 일시적으로
대량 수신되는 것 때문이었다. 그래서 웜메일 중 웜별로 건수와 비율을 약 4일간의 메일로그를 분석
하여 통계를 내봤다. 해외에서도 많은 양의 메일을 수신하는 서버임을 감안하고 참고하기 바란다.

[ mailgraph 통한 메일통계 - 순간 급증을 바로 확인할 수 있다. ]

이 메일서버는 ClamAV를 사용하여 웜메일을 필터링하고 있으며,
Win32/Sober.worm.55390 웜(참고 http://info.ahnlab.com/smart2u/virus_detail_2945.html)등 일부 웜
은 필터링하지 못하였다. 웜이 아닌데 필터링했던, 웜인데 필터링 못했던간에 순수하게 ClamAV를 통해
필터링된 건수만으로 통계를 냈고, 웜이름도 ClamAV에서 사용한 명칭을 그대로 따랐다.

ClamAV로 필터링된 메일은 아래와 같은 로그가 남으며 메일은 저장없이 버려진다.

log 예)

Dec 25 04:23:03 ????? sendmail[28063]: jBOJMwIx028063: to=,
delay=00:00:04, pri=225641, stat=virus Worm.Sober.U detected by ClamAV - http://www.clamav.net

1. 웜별 건수

기 간 : 2005.12.25 04:22~29.13:28 (약 4일 9시간)
건 수 : 총 64,696

-------------------  -----  -------
웜 이름              건수   비율
-------------------  -----  -------
Worm.Sober.U-3       52047 (80.45%)
Worm.SomeFool.P       2488 ( 3.85%)
Exploit.HTML.IFrame   2453 ( 3.79%)
Worm.Sober.U           757 ( 1.17%)
Worm.Mytob.U           690 ( 1.07%)
Worm.Bagz.D            638 ( 0.97%)
Worm.Mytob.T-2         492 ( 0.76%)
Worm.SomeFool.AM       455 ( 0.70%)
Worm.Maslan.A          454 ( 0.70%)
Worm.Mydoom.I          449 ( 0.69%)
Worm.Mabutu.A          317
Worm.Mytob.H-1         277
Worm.Bagle.BL          246
Worm.SomeFool.Q        206
Worm.Mytob.C-2         200
Worm.Mytob.BD          161
Worm.Mytob.GH          158
Worm.Mytob.T           127
Worm.Lovgate.X         116
Worm.Mytob.V           105
Worm.SomeFool.Gen-1    102
Worm.Mydoom.H          100

... 이하 생략 ...
-------------------  -----  -------

2. 웜변형까지 통합한 건수

소버(Sober)웜이 80% 이상으로 대부분을 차지했으며,
다음으로 NetSky(ClamAV에서는 SomeFool 명 사용)이 3.85%을 점유하고 있다.

-------------------  -----  -------
웜 이름              건수   비율
-------------------  -----  -------
Worm.Sober           52844 (81.68%)
Worm.SomeFool         3507 ( 5.42%)
Worm.Mytob            3090 ( 4.78%)
Exploit.HTML.IFrame   2453 ( 3.79%)
Worm.Mydoom            684 ( 1.06%)
Worm.Bagz              664 ( 1.03%)
Worm.Maslan.A          454 ( 0.70%)
Worm.Mabutu            380 ( 0.59%)
Worm.Bagle             356 ( 0.55%)
Worm.Lovgate           131
Worm.Dumaru.A           95
HTML.Phishing.Bank-1    18
Worm.Mimail             10
Trojan.Bagle.BN          6
Worm.Torvil.D            2
Worm.Lebreat.C-1         1
Exploit.IFrame.Gen       1
-------------------  -----  -------