Win32/Blaster.worm

Win32/Blaster.worm

 

 

Win32/Blaster.worm.6176(원형)

 

블래스터(Blaster, 또는 lovesan이라고도 함) 웜은 2003년 8월 12일 새벽(한국 시간)에 발견되었고, 제작국가는 밝혀지지 않았고, 빌 게이츠와 마이크로소프트에 적대감을 품은 자가 만들었을 가능성이 높다. 또한 여러 가지 변종들이 있다. 이 웜 바이러스로 인한 피해액은 32억 달러라고 한다. 

 

윈도우 NT 계열(NT, 2000, XP, 2003)의 RPC(Remote Procedure Call: 원격 프로시저 호출) DCOM의 취약성(RPC 버퍼가 데이터 크기를 검사하지 않는다는 허점)을 이용해 전파되는 웜이므로 윈도우 9x 계열(95, 98, Me)는 영향을 받지 않는다. 

 

RPC DCOM 취약성을 가진 윈도우 시스템(135번 포트)을 찾아 공격한다. 

공격시스템은 취약성을 가진 시스템의 명령 프롬프트를 얻을 수 있고, TFTP프로그램(TFTP.EXE)을 이용해 웜 파일(MSBLAST.EXE)을 복사하고 웜 바이러스를 실행한다.

 

공격받은 시스템은 4444번 포트가 개방(open)되고, 이 포트를 통해 웜 바이러스 실행파일을 전송받는다.

개방된 4444번 포트

4444번 포트는 감염되는 순간에만 오픈되기 때문에 NETSTAT명령으로 확인이 어렵다.

 

실행시 레지스트리에 웜 바이러스 실행파일을 등록해 윈도우를 시작할 때 자동으로 실행되게 한다.

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ Windows auto update=msblast.exe

 

다음으로 시스템 날짜를 검사해 매달 16일 이후인지 또는 매년 9월 이후인지 검사한다. 1~8월은 매월 16일 이후, 9~12월은 매일 windowsupdate.com을 (DDOS)공격한다.

 

135번 포트(epmap)의 트래픽이 현저하게 증가해서

현저히 증가한 135번 포트(빨간색)의 트래픽

시스템에 따라 60초 후 강제종료 또는 에러 메세지가 뜨는 증상이 있다. 대표적인 증상이 '60초 후 강제종료'이고, 웜 바이러스가 RPC의 버퍼를 채워(버퍼 오버플로우?) 과부하를 일으켜 그 결과로 강제로 종료시킨다. 이것 때문에 '60초 바이러스'라는 별명이 붙었다. 강제종료 메세지는 시스템의 언어로 작성된다.

한국어 종료안내문

영어 종료안내문

*위의 종료되는 상황에서 명령 프롬프트 또는 실행에 'shutdown -a'(a:abort: 중단하다)라고 치면 일시적으로 중단시킬 수 있다.

에러 메세지

에러메세지가 뜬 시스템은 탐색기에서 복사(Ctrl+C), 붙여넣기(Ctrl+P) 등의 명령이 실행되지 않는다.

 

감염된 시스템은 다른 시스템을 감염시킨다. 감염된 시스템에서 NETSTAT로 확인하면 여러 포트가 열려있는데, 이 포트의 목적에 대해서는 알려진 바가 없다.

다음은 여러 IP에 135번 포트로 SYS_SENT 패킷을 보내는 과정이고, 이것은 취약점을 가진 시스템을 찾는 과정이다.

  웜 바이러스 실행파일 내부에는 다음과 같이 빌 게이츠와 마이크로소프트를 비난하는 문자가 포함되어 있다.

 

I just want to say LOVE YOU SAN!!

나는 그저 샌프란시스코(SAN, San Francisco)를 사랑한다고 말하고 싶을 뿐이다.

billy gates why do you make this possible? Stop making money and fix your software!!

빌 게이츠, 왜 해킹이 가능하게 만드는가? 돈벌이는 그만하고 너희들 소프트웨어나 고쳐라!!

Blaster웜 실행파일 내부의 헥스 덤프한 내용

이 바이러스 때문에 포맷하고 윈도우를 새로 설치해도 보안패치를 다운받으려고 인터넷에 접속하면 다시 감염된다. 그 이유는 이 웜 바이러스가 컴퓨터의 주소를 기억했다가 지속적으로 감염시키기 때문이다. 보안패치를 하려면 윈도우 9x 컴퓨터에서 보안패치를 다운받은 다음 CD(또는 USB) 등의 저장매체를 이용해 보안패치를 적용해야 한다. 

앞서 말했지만 윈도우 NT 계열의 취약점을 이용하기 때문에 패치를 해야 근본적으로 감염을 막을 수 있다.

 

Win32/Blaster.worm.7200(변형)

 

이 7200은 'B형 블래스터'라고도 불리는 변형 바이러스이나 원본인 6176의 실행파일명이 msblast.exe인 반면, 7200은 penis32.exe이다.

실행시 레지스트리에 웜 바이러스 실행파일을 등록해 윈도우를 시작할 때 자동으로 실행되게 한다.

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ Windows auto update=penis32.exe

 

그 외의 증상은 원형인 6176과 동일하다. 

*7200(B형)의 제작자는 미국 미네소타 주 홉킨스 출신인 18세(당시 2004년)의 제프리 리 파슨(Jeffrey Lee Parson)이 만들었고, 이것 때문에 2005년 1월에 18개월의 형을 선고받았다.

 

Win32/Blaster.worm.5360(변형)

 

이 5360은 'C형 블래스터'라고도 불리는 변형 바이러스이고, 실행 파일명이 teekids.exe이고 웜 바이러스 실행파일 내부의 문자가 원본(6176)과 다르다는 점을 제외하면 나머지 증상은 모두 동일하다.

실행시 레지스트리에 웜 바이러스 실행파일을 등록해 윈도우를 시작할 때 자동으로 실행되게 한다.

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ Windows Inet XP..=teekids.exe 

 

웜 바이러스 실행파일 내부의 메세지:

 

Microsoft can suck my left test i! Bill Gates can suck my right test i! And All Antivirus Makers Can suck My Big Fat Cock!(left와 right의 의미 파악이 어려운 관계로 해석을 하지 않았다.) 

 

 

Win32/Blaster.worm.6176.B(변형)

 

이 블래스터 웜은 'E형 블래스터'라고도 불리고, 원형인 6176을 수정한 것으로 생성되는 파일 이름은 mslaugh.exe(원형의 실행파일 이름은 msblaster.exe)이고, kimble.org 사이트를 공격한다(원형은 windowsupdate.com을 공격한다)

실행시 레지스트리에 웜 바이러스 실행파일을 등록해 윈도우를 시작할 때 자동으로 실행되게 한다.

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ Windows Automation=mslaugh.exe 

 

또한 웜 바이러스 실행 파일 내부에는 다음의 문자열을 포함하고 있다.

 

"I dedicate this particular strain to me ANG3L(ANGEL) - hope yer enjoying yerself and dont forget the promise for me B/DAY !!!!"

이 특별한 시(strain은 문체, 표현법, 음악, 노래, 시의 의미를 갖고 있다.) 나의 천사에게 바친다. 너 자신이 즐기길 바라고 나의 생일을 잊지 않기를 약속하자!!!!

앞에서 설명한 세 가지를 제외한 나머지는 원형과 동일하다.

 

Win32/Blaster.worm.11808(변형)

 

이 블래스터 웜은 'F형 블래스터'라고도 불리고, 웜 바이러스 실행파일의 이름이 enbiei.exe, 공격 사이트가 www.tuiasi.ro(루마니아 이아시 공과대학 사이트 포함),

실행시 레지스트리에 웜 바이러스 실행파일을 등록해 윈도우를 시작할 때 자동으로 실행되게 한다.

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"www.hidro.4t.com"=enbiei.exe 

 

실행 파일 내부에는 다음의 루마니아어로 작성된 욕설 문자열이 포함되어 있고, 압축된 파일 내부에 존재하기 때문에 압축을 풀기 전에는 내용을 볼 수 없다. 

 

"Nu datzi la fuckultatea de Hidrotehnica!!!Pierdetzi timpul degeaba...Birsan te cheama pensia!!!Ma pis pe diploma!!!!!!"

영문해석:

Don't go to the Hydrotechnics faculty!!! You are wasting time...Barsan, the retirement wants you!!! F*** the diploma!!!!!!

국문해석: 수력(水力) 공학과에 가지 마라!!! 너는 시간을 낭비한다...바르산(루마니어어로 '길고 거친 양털을 가진'이라는 뜻을 가짐), 퇴직이 너를 기다리고 있다!!! 망할 놈의 학위!!!!!!! 

 

이것 이외에는 원형과 동일하다. 

*이 바이러스(F형)의 제작자인 Dan Dumitru Ciobanu는 2003년 9월에 루마니아 법원으로부터 15년 형을 선고받았다.

 

*참고: 다음의 다이어그램은 회사의 로컬 WAN을 간략하고 추상적으로 나타낸 것이다.

 

언론보도:

it.donga.com/8222/

컴퓨터에 숨어있는 기생충 - 웜(worm)

news.grayhash.com/html/category/malware/3682e34957.html

The Graynews - [Malware] 60초 후에 재부팅, 블래스터 웜

www.hankyung.com/it/article/2003081300778

블래스터 웜 피해 5천건

 

참고:

안철수연구소

virus.wikidot.com/blaster

www.sans.org/security-resources/malwarefaq/w32-blasterworm

www.f-secure.com/v-descs/msblast.shtml

www.f-secure.com/v-descs/net-worm_w32_lovsan_f.shtml

namu.wiki/w/%EB%B8%94%EB%9E%98%EC%8A%A4%ED%84%B0%20%EC%9B%9C#fn-3