지식저장고(Knowledge Storage)

Win32/Klez.worm

Hi
Hello
How are you?
Can you help me?
We want peace
Where will you go?
Congratulations!!!
Don't cry
Look at the pretty
Some advice on your shortcoming
Free XXX Pictures
A free hot porn site
Why don't you reply to me?
How about have dinner with me together?
Never kiss a stranger

클레즈 웜 바이러스 주의보 - 인천일보

정보통신부와 한국정보보호진흥원은 29일 감염될 경우 실행 파일을 바이트로 만들어 컴퓨터의 작동을 멈추게 하는 `클레즈(Klez) 웜"" 바이러스가 최근 외국에서 발견됨에 따라 이 바이러스에 대

www.incheonilbo.com

`13일 데이터 파괴' 웜 바이러스 확산

www.ohmynews.com

"클레즈 변형" 바이러스 급속 확산

홀수달 13일에 컴퓨터 하드디스크의 데이터를 파괴하고 복구하지 못하도록 하는 ‘클..

www.dt.co.kr

Win32/Chet.worm.26628 (0)	2021.01.10
Win-Trojan/Vupdt (0)	2021.01.09
HTML/Offensive (0)	2021.01.05
HTML/Sadmind (0)	2021.01.04
X97M/HJB (0)	2021.01.03

Posted by skywalker222

Win32/Klez.worm

Win32/Klez.worm.57345

이 웜 바이러스는 메일의 발송으로 전파되고, 윈도우 시스템 폴더에 WQK.EXE(11,722바이트) 파일을 생성한다.

메일과 네트워크 드라이브로 전파되고, 메일발송은 아웃룩이 아닌 SMTP서버를 이용한다. 메일의 제목은 다음 중에서 무작위로 결정된다.

Hi

Hello

How are you?

Can you help me?

We want peace

Where will you go?

Congratulations!!!

Don't cry

Look at the pretty

Some advice on your shortcoming

Free XXX Pictures

A free hot porn site

Why don't you reply to me?

How about have dinner with me together?

Never kiss a stranger

다음의 메세지를 암호화해서 저장하고 있다.

I'm sorry to do so,but it's helpless to say sorry.I want a good job,I must support my parents.Now you have seen my technical capabilities.How much my year-salary now? NO more than $5,500.What do you think of this fact?Don't call my names,I have no hostility.Can you help me?

해석:

이 짓을 해서 미안하지만 이 말을 하니 난처하다.

나는 좋은 직업을 갖고싶다. 나는 내 부모를 부양해야 한다.

너는 지금 내 기술적 능력을 보았다.

내 연봉이 얼마나 되는지 아는가? 5,500달러를 넘지 못한다.

이것에 대해 너는 어떻게 생각하는가?

나를 욕하지 마라. 나는 적대감이 없다.

나를 도와주겠는가?

사용자가 웜 바이러스(첨부파일)를 실행시키면 화면에 아무것도 출력되지 않지만 그 동안 하드디스크를 읽는다.

다음으로 윈도우 시스템 폴더(일반적으로 C:\Windows\System)에 KRN132.EXE와 WQK.EXE 두 파일을 생성한다. 이들 파일은 시스템과 숨김 속성이므로 탐색기에서 못 볼 수 있다.

WQK.EXE파일은 Win95/Elkern(안철수연구소에서 검색하시오)바이러스를 포함하고 있다. 첨부되는 파일은 57,355바이트의 길이를 가지나 웜에 Win95/Elkern바이러스가 감염될 가능성이 있고, 따라서 파일의 크기가 더 커질 수 있다.

아래의 레지스트리에 웜과 바이러스 파일을 추가해 다음 부팅 때도 자동으로 실행되도록 한다.

"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"

Win32/Klez.worm.91978

(예: *.TXT.EXE. *.JPG.EXE, *.BMP.EXE. *.MPEG.EXE. *.MPG.EXE, *.DOC.EXE, *XLS.EXE. *.CPP.EXE. *.HTML.EXE)

또한 이 웜은 홀수달 13일에 파일을 파괴하는 증상이 있고, 파괴된 파일은 파괴전의 파일과 그 크기는 동일하나 내부는 0의 값으로 채워져 복구가 불가능하다.

파일의 파괴는 파일의 모든 부분을 0으로 채우는 방식으로 이루어진다.

Win32/Klez.worm.E

이 웜 바이러스는 메일의 발송 또는 네트워크를 통해 전염되고, 특정한 날짜에 파일을 파괴하는 현상을 일으키고, 운영체제에 따라 감염된 후 부팅이 안되는 경우가 발생하게 하는 증상이 있다.

2002년 1월 17일에 처음으로 발견되었고, 2002년 1월 25일에 국내에서 발견되었다. 원형인 57345에 몇 가지 증상이 추가된 웜 바이러스다.

메일과 네트워크를 통해 전파되고, 메일은 보안패치가 안된 아웃룩에서는 읽는 것만으로도 웜 바이러스가 실행된다. 이 웜 바이러스는 자체 SMTP 기능을 통해 발송되고, 메일 제목은 다음 중 조합되어 만들어지거나

a [] or [] game/tool/website/patch

[]: new, funny, nice, humour, excite, good, powful, WinXP, IE 6.0

아래 문장중에서 무작위로 선택된다.

첨부된 파일은 77~84KB 정도의 크기를 갖고, 첨부 파일을 실행하면 C드라이브 루트에 임의의 이름을 가진 SCR 파일과 RAR 파일을 생성한다. RAR 파일 내부에 파일 이름들은 다음 단어에서 무작위로 선택되어 진다.

(setup, install, demo, snoopy, picacu, kitty, play, rock)

그 다음으로 윈도우 시스템 폴더에(일반적으로 C:\Windows\System/C:\WinNT\System32) WINK----.EXE(----:임의의 2~4글자) 파일과 다른 바이러스를 담은 Wqk.exe(13KB)가 생성된다.

생성된 파일들은 윈도우가 재부팅될 때 다음의 레지스트리 값에 추가된다.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\run

네트워크로 공유된 드라이브나 폴더 또는 로컬 드라이브 내에 공유된 폴더나 드라이브에도 웜 자신을 복사한다.

생성되는 파일 중 하나는 *.RAR 확장자를 가지고 다른 하나는 이중 확장자를 가지고 있는데 다음 중에서 결정된다.

.txt, .htm, .html, .wab, .doc, .xls, .jpg(가운데)

.cpp, .c, .pas, .mpg, .mpeg, .bak, .mp3(확장자)

.exe, .scr, .pif, .bat(최종 확장자)

이 웜 바이러스(Klez.worm.E)는 쉽게 접할 수 있는 웜, 바이러스와 실행중인 일부 백신 프로그램의 프로세스를 종료한다. 백신은 삭제될 수 있다.

바이러스: Sircam, Nimda, CodeRed, WQKMM3878, GRIEF3878, Fun Loving Criminal

백신: Norton, Mcafee, Antivir, Avconsol, F-STOPW, F-Secure, Sophos, virus, AVP Monitor AVP Updates, InoculatelT, PC-cillin, Symantec, Trend Micro, F-PROT, NOD32

3, 5, 9, 11월의 6일에 로컬 드라이브와 네트워크 드라이브에 존재하는 다음의 확장자를 갖는 파일을 파괴한다.

.txt, .htm, .html, .wab, .doc, .xls, .jpg, .cpp, .c, .pas, .mpg, .mpeg, .bak, .mp3

파괴될 파일들은 랜덤한 값으로 채워지게 된다. 파일의 원래 크기는 가지고 있으나 내부는 랜덤한 값으로 채워지므로 파일크기의 변화는 없다.(이렇게 손상된 파일들은 복구가 불가능하다)

탐색기로 열면 제대로 볼 수 있으나 이미 웜 바이러스에 의해 파일이 파괴되었기 때문에 실행이 불가능하다.

이 웜 내부에는 다음의 문자가 암호화 되어 있다.

해석:

Win32 Klez V2.0 & Win32 Elkern V1.1,(이들의 별명은 쌍둥이 바이러스이다*^__^*)

저작권, 아시아에서 제작됨, 성명서:

1. 나는 최선을 다해 사악한 바이러스인 Funlove, Sircam, Nimda, CodeRed, W32.klez 1.X.등으로부터 보호하겠다.

2. 좋은 일자리를 원한다.

3. 가난한 삶은 축복되어서는 안된다.

4. 나를 저주하지 마라. 제발 불공평하고 더러운 세상을 저주해달라.

윈도우 98 시스템에서 감염되었다면 다음의 메세지가 뜨고 더 이상 정상적인 부팅이 되지 않는다.

Cannot start Windows because VMM32.VXD was not found or is damaged

You need to run the Setup program again to install VMM32.VXD

Press any key to continue...

또는

Invalid system disk

Replace the disk, and then press any key

Win32/Klez.worm.E의 실행영상:

이 Klez.worm은 198억원의 손실을 일으켰고, 국내에서도 다수의 언론들이 이 웜 바이러스에 대해 보도했다.

참고:

I'm sorry to do so,but it's helpless to say sorry.
I want a good job,I must support my parents.
Now you have seen my technical capabilities.
How much my year-salary now? NO more than $5,500.
What do you think of this fact?
Don't call my names,I have no hostility.
Can you help me?

(예: .TXT.EXE. .JPG.EXE, .BMP.EXE. .MPEG.EXE. .MPG.EXE, .DOC.EXE, XLS.EXE. .CPP.EXE. *.HTML.EXE)

Win32 Klez V2.0 & Win32 Elkern V1.1,(이들의 별명은 쌍둥이 바이러스이다^__^)