Win32/Gruel.worm.102400

Win32/Gruel.worm.102400

 

 

이 웜 바이러스는 메일과 P2P(Peer-to-Peer)프로그램을 통해 전파되고, CD-ROM 드라이브가 열리고, 여러가지 시스템 조절창이 뜨는 증상이 있다. 제작국가는 밝혀지지 않았다.

 

2003년 7월 16일에 해외에서 최초로 발견되었고, 다음의 메일 형태로 전파된다.

 

제목 : Symantec: New serious virus found
본문 : Norton Security Response: has detected a new virus in the Internet.
For this reason we made this tool attachement, to protect your computer from this serious virus.
Due to the number of submissions received from customers, Symantec Security Response has
upgraded this threat to a Category 5 (Maximum ).
첨부파일 : 102,400 바이트 실행 파일

해석:

제목: 시만텍: 새로운 심각한 바이러스가 발견되었음

본문: 노턴 시큐리티 연구소는 인터넷에서 새로운 바이러스를 탐지했음

이러한 이유로 우리는 당신의 컴퓨터를 이 심각한 바이러스로부터 지키기 위한 도구를 첨부했다. 

고객들로부터 지원요청을 많이 받았기 때문에, 시만텍 연구소는 위험도를 카데고리 5(최대치)로 격상시켰다. 

 

웜 바이러스가 실행되면 다음과 같이 윈도우 XP 기능 오류 보고화면 창과 비슷한 창이 뜬다.

 

Windows

 

Windows has encountered a problem a needs to close. We are sorry for the inconvenience.

 

If you were in the middle of something, the information you were working on might be lost.

 

Please tell microsoft about this problem.

 

We have created an error report thet you cand send to us. we will treat this report as confidential and annonymous.

To see what data this error report contains

 

Windows X found serious error

해석:

윈도우에 종료할 필요가 있는 문제에 직면했습니다. 불편을 드려서 죄송합니다.

 

작업 중인 내용은 손실될 수 있습니다.

 

마이크로소프트에 이 문제를 알려주세요

 

전송할 수 있는 오류 보고서를 만들었습니다. 이 보고서를 기밀과 익명으로 다룰 것입니다.

 

윈도우 X는 심각한 오류를 발견했습니다.  

 "Send Error"버튼을 누르면 다음의 (가짜)오류 정보가 담긴 창이 뜬다.

"Close"버튼을 선택하면 CD-ROM 드라이브가 열리면서 시스템 조절 관련 창이 뜬 후 화면 중간에 웜 제작자의 메세지 창이 뜬다.

메세지를 확대해보면 다음과 같다.

 

kIlLeRgUaTe

 

Your computer now is mine, Why? Because I didn't had nothing to do and I thought, why not make the evil? Remember NOW YOUR PC IS IN MY POWER Windows Sucks! I can't stand it anymore! Windows has always sucked. Wake up people! It's a scam! You don't need a faster computer. You need a better operating system. Microsoft continuingly makes money by selling you the latest and greatest Windows. The latest Windows version is always the most inefficient yet, slowing down your fast computer. Also, now you have to upgrade all your other software too because different Windows versions are not compatible with each other! A hidden cost not mentioned at all. It's part of the scam. Capitalism Sucks!, Communism Sucks. KILLERGUATE.

해석:

kIlLeRgUaTe

너의 컴퓨터는 이제 내 것이다. 왜? 왜냐하면 나는 할 일이 아무것도 없었고 내 생각대로 왜 악을 만들지 않았는가? 기억하라 이제 너의 컴퓨터는 내 손아귀에 있다. 나는 더 이상 서있을 수 없다! 윈도우는 항상 형편없다. 사람들을 자각하게 하라! 이것은 사기다. 너에게는 빠른 컴퓨터가 필요없다. 너는 나은 운영체제가 필요하다. 마이크로소프트는 너에게 최근과 최상의 윈도우를 팔아서 연속적으로 돈을 번다. 최근의 윈도우 버전은 가장 비효율적이고 너의 빠른 컴퓨터를 느리게 만든다. 또한 이제 너는 역시 너의 다른 소프트웨어들을 업그레이드할 필요가 있다. 왜냐하면 다른 윈도우 버전들은 서로 호환되지 않기 때문이다. 전혀 언급되지 않은 숨겨진 비용이 있다. 이것은 사기의 한 부분이다. 자본주의는 형편없다!, 공산주의도 형편없다. KILLERGUATE

   다음으로 아래의 시스템 관련 파일들을 삭제한다.

 

• C:\AUTOEXEC.bat

• C:\config.sys

• C:\Rundll32.exe

• C:\WINNT\system32\ntoskrnl.exe

• C:\WINNT\system32\command.com

• C:\WINNT\regedit.exe

• C:\windows\system32\ntoskrnl.exe

• C:\windows\system32\command.com

• C:\windows\regedit.exe

• C:\WINNT\system32\*.exe

• C:\WINNT\system32\*.com

• C:\WINNT\system32\*.dll

• C:\WINNT\system32\*.ocx

• C:\windows\system32\*.dll

• C:\windows\system32\*.ocx

• C:\windows\system32\*.exe

• C:\windows\system32\*.com

• C:\WINNT\Program Files\Norton AntiVirus\NAVW32.EXE

• C:\windows\Program Files\Norton AntiVirus\NAVW32.EXE

 

다음의 파일들도 삭제한다.

 

C:\WINNT\system

C:\windows\system

C:\WINNT\system32

C:\windows\system32

 

그 결과로 재부팅하면 바탕화면에 마우스 포인터만 나타나게 되어 정상적인 윈도우 사용에 지장이 발생한다. 

 

바이러스 실행영상:

www.youtube.com/watch?v=y6a3VSuh8AA

www.youtube.com/watch?v=BGPo7R7paig

* Virus Encyclopedia(virus.wikidot.com)에 이 바이러스를 검색했는데 "Operation timed out"가 뜨고 아무것도 안 나왔다.

 

참고:

안철수연구소

www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/W32~Gruel-D/detailed-analysis.aspx

www.f-secure.com/v-descs/fakerr.shtml

www.trendmicro.com/vinfo/us/threat-encyclopedia/archive/malware/WORM_GRUEL.D