Win32/Vote.worm

Win32/Vote.worm

 

 

이 웜 바이러스는 9.11테러와 관련된 내용을 담고 있다. 제작국가는 불명이고 2001년 9월 24일에 외국에서 최초로 발견되었다(국내에서는 미발견).

 

이 웜은 이메일을 통해 확산되고, 아웃룩 주소록에 있는 사용자들에게 다음과 같이 이메일을 발송한다. 

 

보낸사람: TEST******

받는사람: ******

제목: Fwd : Peace BeTweeN AmeriCa and IsLaM!

 

Hi

iS iT A waR Against AmeriCa Or IsLaM !?

Let's Vote To Live in Peace!

해석: 

제목: Fwd : 미국과 이슬람 사이의 평화

 

안녕

미국 또는 이슬람에 반대하는 전쟁인가!?

평화롭게 살기 위해 투표하자!

웜 바이러스가 실행되면 윈도우 폴더(일반적으로 C:\WINDOWS)에 MIXDALAL.VBS(1,370바이트)파일을, 윈도우 시스템 폴더(일반적으로 C:\WINDOWS\SYSTEM)에 ZACKER.VBS(643바이트)파일을 생성한다.

 

웜 바이러스가 메모리에 존재하는 경우 다음과 같이 화면에 작은 회색 사각형이 나타난다.

 레지스트리에 다음의 값들이 추가된다.

 

이름: Norton, Thar 데이터: "C:\WINDOWS\SYSTEM\ZaCker.vbs"

 

부팅할 때 실행되는 Zacker.vbs파일의 경우 하드를 포맷하는 명령을 Autoexec.bat에 포함시키고, 웜 바이러스가 실행된 후 시스템을 재부팅하면, 현재 메모리에 존재하는 파일을 제외하고 윈도우 폴더에 있는 파일을 전부 삭제한다. 다음으로 화면에 다음의 메세지가 출력되는데

 

VBScript

I promiss We WiLL Rule The World Again...By The Way, You Are Captured By ZaCker !!!

 

해석:

나는 우리가 다시 세계를 지배하도록 약속한다. 그건 그렇고 너는 ZaCker에 의해 잡혔다 !!!

"확인" 버튼을 누르면 다시 시스템이 재부팅되면서 하드가 포맷되고, 레지스트리를 수정해서 인터넷 시작 페이지가 변경되도록 한다. 

인터넷 시작 페이지가 수정된 후 인터넷 익스플로어를 실행하면 TimeUpdate.exe파일을 다운로드 한다는 내용의 창이 뜬다.

 이 파일은 트로이목마이기 때문에 다운로드하면 안되고, 다운로드가 되었다면 실행시키지 말고 삭제해야 한다. 

 

MIXDALAL.VBS파일은 웜을 실행하면 실행되는 스크립트로 로컬 드라이브와 네트워크 드라이브를 검색해서 확장자가 htm, html인 파일을 검사해서 다음의 내용을 저장한다. 기존의 htm, html내용은 전부 삭제되며 다음의 내용만 존재하게 된다.

 다음으로 백신의 진단을 방해하기 위해 외국 백신들이 설치되는 폴더의 파일을 전부 삭제하지만 삭제하는 폴더가 구버전 백신을 기준으로 삭제되기 때문에 일부 최신 버전의 백신은 폴더명이 달라서 삭제되지 않는다. 

 

C:\Program Files\AntiViral Toolkit Pro
C:\eSafe\Protect
C:\Program Files\Command Software\F-PROT95
C:\PC-Cillin 95
C:\PC-Cillin 97
C:\Program Files\Quick Heal
C:\Program Files\FWIN32
C:\Program Files\FindVirus
C:\f-macro
C:\Program Files\McAfee\VirusScan95
C:\Program Files\Norton AntiVirus
C:\TBAV95
C:\VS95

 

Win32/Vote.worm.61440

 

이 웜 바이러스는 앞에서 설명한 Win32/Vote.worm의 변형이 아닌 바이러스지만 비슷하게 9.11테러 관련된 내용을 담고 있다. 앞의 바이러스처럼 메일을 통해 전파되고, 특정 메세지 창을 출력하는데다가 추가로 확장자가 EXE인 파일을 겹쳐쓰기하고, 데이터 파일을 삭제한 다음 [데이터파일명].[확장자].EXE 형태로 파일을 생성해서 정상적인 윈도우 부팅을 불가능하게 하는 증상이 있다. 

 

이 웜 바이러스는 다음의 메일을 통해 전파된다.

 

제목: WORLD TRADE CENTER PICTURES(세계무역센터 사진)

본문: Remember The Times......MAYBE THEY WILL BE BACK...!!!

(그 시간을 기억하라......아마도 그들은 다시 돌아올 것이다!!!)

첨부파일: 실행파일(61,440 바이트)

 

첨부파일이 실행되면 다음의 메세지를 출력한다.

 

WORLD TRADE CENTER

 

WE WILL ALWAYS REMEMBER THOSE LOST SOULS

해석:

세계무역센터

 

우리는 항상 희생자(THOSE LOST SOULS)들을 기억할 것이다.

 다음으로 욕설이 담긴 내용의 메세지가 출력되는데 욕설 내용은 무작위로 바뀐다.

(해석은 하지 않겠다)

*9.11테러 때 테러범을 포함한 2,996명의 사망자와 최소 6,000명 이상의 부상자가 발생했다. 5764번, 6546번 희생자(VICTIM)라고 적혀있는데 아마 이 웜 바이러스 제작자가 희생자의 범주에 부상자까지 포함시킨 것으로 보인다.

 

그리고 나서 확장자가 EXE인 파일을 찾아 겹쳐쓰기를 하고 데이터 파일(BMP 등)을 찾아 삭제한 후 [데이터파일명].[확장자].EXE 형태로 파일을 생성한다.

 

예: 1STBOOT.BMP 파일을 삭제한 후 1STBOOT.BMP.exe 파일을 생성한다. 

 

이렇게 해서 실행파일과 데이터 파일이 파괴되므로 정상적인 윈도우 사용이 불가능해진다.

생성되는 파일의 아이콘 모양은 추락하는 비행기 모양을 하고 있다.

 언론보도:

www.ohmynews.com/NWS_Web/View/at_pg.aspx?CNTN_CD=A0000054586

'님다' 이어 '투표' 바이러스 비상

www.hankyung.com/it/article/2001092559628

정통부, 보우트 웜 바이러스 주의보

www.inews24.com/view/87103

[이라크침공] '월드 트레이드 센터 사진' 이란 제목의 바이러스 출현

*www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?menu_dist=3&curPage=87&columnist=&series_key=&seq=4922

정치적 메시지를 담은 악성 프로그램

 

참고:

안철수연구소