HTML/Sadmind

HTML/Sadmind

 

 

이 바이러스(외국에서는 웜 바이러스)는 중국에서 만들어졌고, 이전에 소개했던 'VBS/Staple'처럼 정치적인 목적을 가지고 있는 바이러스지만 차이점은 VBS/Staple 바이러스는 팔레스타인의 참상을 알리는 문자를 출력하고, HTML/Sadmind는 미국과 미국 해커조직을 비난하는 문자를 출력한다는 점이다.

 

증상으로는 IIS(Internet Information Services의 약자로 마이크로소프트 윈도우를 사용하는 서버들을 위한 인터넷 기반 서비스들의 모임, FTP, SMTP, NNTP, HTTP/HTPS를 포함) 웹 서버를 이용하는 홈페이지가 미국을 비난하는 화면이 초기화면으로 변경된다는 점이다. 

 

이 바이러스는 2001년 5월 8일에 발견되었고, 국내에는 2001년 5월 10일에 발견되었다. 

 

HTML/Sadmind는 Solaris/Sadmind.worm이 만든 파일이고, 이 웜(Solaris)은 솔라리스의 보안성 취약점을 이용해 확산되는 인터넷 웜으로 패치가 되지 않은 윈도우 NT 또는 2000서버를 찾아 index.asp, index.htm, default.asp, default.htm 등의 파일을 복사한다. 이들 파일은 바이러스나 웜이 아니므로 스스로 다른 컴퓨터로 전파되지는 않으나 이들 파일이 발견된 NT/2000서버는 보안상 취약점이 존재하기 때문에 다른 침입을 당할 수 있다.

 

+웜 바이러스가 시스템을 공격하면 루트에 속한 .rhosts 파일에 "++"디렉토리를 추가한다. 그 다음으로 rcp를 사용해 웜 바이러스를 새 시스템에 복사하고 새로운 /dev/cuc 디렉토리에 압축을 푼다.

/etc/rc.d/S71rpc가 변경되어 시스템이 시작될 때 웜 바이러스가 시작된 다음 해당 파일이 실행되어 웜을 실행시킨다. 

 

index.htm 등의 파일은 검은색 배경에 다음의 메세지를 빨간 글씨로 출력한다. 

f**k USA Government

f**k PoizonBOx

contact: sysadmcn@yahoo.com.cn

 

이 바이러스는 영국 TV 뉴스 네트워크 ITN과 약 8,800개의 다른 인터넷 서버에 침투했고, 이 바이러스의 공격을 받은 후 절반 넘는 사이트가 손상되었고, 이들 사이트의 대부분은 개인 사이트였다. 

 

이 바이러스가 출력하는 메세지에 있는 PoizonBOx는 미국 해커 집단이다. 앞서 말했듯이 이 바이러스는 중국에서 만들어졌고, 중국에서 크래킹(사이버 범죄행위)은 사형에 처해지기 때문에 중국정부의 개입이 있다는 의혹이 있다.

 

*이 바이러스는 UN군이 세르비아 베오그라드 주재 중국대사관을 폭격해서 중국인 사망자가 발생해서 이에 분노한 중국 해커들이 미국을 비방할 목적으로 만들어졌다고 할 수 있다.

en.wikipedia.org/wiki/NATO_Bombing_of_the_Chinese_embassy_in_Belgrade

United States bombing of the Chinese embassy in Belgrade - Wikipedia

 

참고:

안철수연구소

hackersstudy.tistory.com/16

www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/Unix~SadMind/detailed-analysis.aspx

virus.wikidot.com/sadmind