Win32/Opasoft.worm

Win32/Opasoft.worm

 

 

여기서 다루고자 하는 웜 바이러스는 Opasoft(다른 곳에서는 Opaserv)이고 안철수연구소에서는 제작 국가를 찾지 못했으나 다른 사이트에서는 브라질로 추정했다. 원형인 28672는 네트워크 환경에서 읽기/쓰기가 공유된 시스템을 대상으로 전파하고, 변형인 17408은 하드디스크를 파괴하는 증상을 가지고 있다.

 

Win32/Opasoft.worm.28672

 

이 웜 바이러스는 네트워크와 임의의 IP대역의 C드라이브가 읽기/쓰기 공유된 시스템을 대상으로 전파되고, 특정 IP의 웹 서버로 접속을 시도한다. 2002년 9월 29일에 처음으로 발견되었는데 외국과 국내에서 거의 같은 날에 발견될 정도로 확산속도가 빠르다. 

 

이 웜 바이러스는 다음의 대상으로 전파되고

 

-네트워크 환경에서 C드라이브가 읽기/쓰기 공유된 시스템

-웜 바이러스가 결정하는 임의의 IP 대역의 시스템 중 C드라이브가 읽기/쓰기 공유된 시스템

 

ARP(주소 결정 프로토콜) Broadcasting(목적지의 물리주소를 모르기 때문에 모두에게 요청함)을 시작해서 서브넷(하나의 네트워크가 분할되어 나누어진 작은 네트워크)의 정보를 얻어온다. 동일한 서브넷인 경우, A, B, C, D 클래스에서 D클래스부터 증가한다. D클래스 증가가 255로 끝나면 다시 C클래스 증가를 하면서 넷바이오스(OSI에 있는 세션 및 프로토콜 계층의 서비스 담당) 137번의 네임 서비스 기능을 이용해 C드라이브가 읽기/쓰기 공유된 시스템을 찾는다. 

 

* 감염된 컴퓨터의 현재 서브넷 (aa.bb.cc ??)

* 현재 감염된 컴퓨터의 가장 가까운 두 서브넷 (aa.bb.cc.cc + 1 ??, aa.bb.cc-1 ??)

* 서브넷을 임의로 선택한다 (검색이 비활성화 된 서브넷 제외).

 

임의의 IP대역은 WINS를 이용하여 웜 자신이 랜덤한 IP를 결정하고 C와 D클래스 부분을 증가시켜 C드라이브가 읽기/쓰기 공유된 시스템을 찾는다. 찾았다면 넷바이오스 139번의 세션 서비스를 이용해 연결을 시도(특수 SMB(다음 명령을 전송하는 패킷)를 전송)하고 웜 바이러스를 윈도우 폴더에 복사한다.

 

*이 웜 바이러스는 윈도우 NT, 2000, XP에서는 실행되지 않는데 그 이유는 WIN.INI는 윈도우 9x(95, 98, me)와 NT, 2000, XP와 서로 호환되지 않기 때문이다. 

 

이 웜 바이러스는 앞에서 설명한 작업을 수행하면서 특정한 웹 서버(www.opasoft.com, 현재는 서비스가 중지됨)로 쿼리를 계속 날린다. 위와 같은 작업과 대상을 계속적으로 찾기 때문에 네트워크에 상당한 부하가 발생할 수 있다.

위에서 설명한 조건에 맞는 시스템의 윈도우 폴더(일반적으로 C:\Windows 또는 C:\WinNT)에 복사를 한 다음 웜 바이러스 자신을 부팅 될 때마다 실행되도록 레지스트리와 WIN.INI파일을 수정한다. 암호가 설정된 경우는 윈도우 9x계열의 암호 취약점을 이용하여 암호를 알아낸다.

 

레지스트리:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\run

ScrSvr=C:\WINDOWS\ScrSvr.exe 생성

 

WIN.INI:

run=C:\WINDOWS\SCRSVR.EXE

 

Win32/Opasoft.worm.17408

 

이 웜 바이러스는 앞에서 설명했던 28672의 변형 중 하나인데 하드디스크 파괴 증상을 가지고 있다.

 

이 웜 바이러스는 윈도우 9x의 네트워크 환경에서 C드라이브가 읽기/쓰기 공유된 시스템을 통해 전파되고, 감염된 시스템은 윈도우 폴더(일반적으로 C:\Windows)에 MQBKUP.EXE파일이 생성된다. 다음으로 자신을 레지스트리에 등록시킨다.

 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\run\

mqbkup.exe

 

다음으로 C:\루트에 다음의 두 개의 파일을 생성한다(시스템 환경에 따라 생성되지 않을 수 있다).

 

Boot.exe(약 2,880바이트, 윈도우 종료기능)

Mslicenf.com(약 1,761바이트, autoexec.bat 파일에 추가되고 디스크 파괴기능 수행)

 

Mslicenf.com파일이 실행되면 플로피 디스크(쓰기 방지기능이 없는 플로피 디스크가 존재할 때)와 하드디스크 드라이브의 부트영역을 변형하고 다음의 메세지를 출력하고 하드디스크를 파괴한다.

 

NOTICE:

Illegal Microsoft Windows license detected!
You are in violation of the Digital Millennium Copyright Act!

Your unauthorized license has been revoked.

For more information, please call us at:

1-888-NOPIRACY

If you are outside the USA, please look up the correct contact
information on our website, at:

www.bsa.org


Business Software Alliance
Promoting a safe & legal online world."

 

해석:

주의:

 

불법 마이크로소프트 윈도우 라이센스가 탐지되었습니다!

당신은 디지털 밀레니엄 저작권법을 위반하고 있습니다!

 

당신의 허가받지 않은 라이센스는 무효화 되었습니다.

 

자세한 정보는 여기로 연락주세요:

 

1-888-NOPIRACY

 

미국 바깥에 있다면 다음의 사이트에서 정보를 찾으세요.

www.bsa.org  

 

상업 소프트웨어 연합

안전하고 합법적인 온라인 세계를 지향합니다

*www.bsa.org는 상업 소프트웨어 연합 사이트로 이 웜 바이러스와 무관한 사이트이다. 

 

사용자가 재부팅해도 변형된 부트영역이 먼저 실행되므로 같은 메세지를 출력하고 하드디스크를 파괴한다.

 

*하드디스크 파괴는 마스터 부트 레코드(MBR)에 Mslicenf.com파일 내용을 기록하고 다른 영역까지 쓰기 때문에 데이터 영역까지 파괴되고, 따라서 데이터 복구를 할 수 없게 된다. 

 

다음은 파티션이 깨진 화면이다.

플로피 디스크로 부팅해서 하드디스크로 접근하려고 하면 "Invalid drive specification(또는 Memory allocation error Cannot load COMMAND, system halted)"이라는 에러 메세지가 출력된다.

이것은 바이러스에서 출력하는 것이 아닌 도스에서 하드디스크를 찾을 수 없기 때문에 출력하는 도스 에러 메세지이다. 

 

Win32/Opasoft.worm.17408의 실행영상:

www.youtube.com/watch?v=_izzXRMN9yk&t=419s

이 웜 바이러스에 대한 언론보도:

zdnet.co.kr/view/?no=00000010053565

[바이러스 주의보] `오파소프트`·`어픽스` 출몰

www.energydaily.co.kr/news/articleView.html?idxno=7629

신종 윔 바이러스 긴급 경보 발령 - 에너지데일리

www.koit.co.kr/news/articleView.html?idxno=15069

신종 웜 바이러스 긴급 경보 - 정보통신신문

*www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=26&seq=11921

[악성코드의 역사 18] 2002년 - 매스 메일 웜의 발전

 

참고: 

안철수연구소

www.hauri.co.kr/information/analysis_view.html?intSeq=278&page=535&SelectPart=

virus.wikidot.com/opaserv

musclebear.tistory.com/12

hyoje420.tistory.com/32#:~:text=%ED%81%B4%EB%9E%98%EC%8A%A4%20%EB%8B%A8%EC%9C%84%EB%A1%9C%20%EB%B6%84%EB%A5%98%EB%A5%BC,%EC%9C%BC%EB%A1%9C%20%EB%B6%84%ED%95%A0%ED%95%98%EC%97%AC%20%EC%82%AC%EC%9A%A9%ED%95%9C%EB%8B%A4.

www.f-secure.com/v-descs/opasoft.shtml

www.youtube.com/watch?v=_izzXRMN9yk&t=419s