Win32/Mimail.worm

Win32/Mimail.worm

 

 

Win32/Mimail.worm(원형)

 

Mimail 웜 바이러스는 러시아에서 만들어졌고, 2003년 8월 1일 최초로 발견되었다. Mimail웜으로 인한 피해액은 115억이다.

 

이 웜 바이러스는 ZIP파일 속에 포함된 HTML문서에 웜이 포함된 형태이고, 이것이 가능한 이유는 알려진 취약점을 이용하여 특별히 작성된 HTML문서에 실행가능한 파일이 포함될 수 있기 때문이다. 취약점이 존재하는 인터넷 익스플로어를 이용해 ZIP파일의 압축을 풀고 HTML문서를 열어볼 경우 포함된 웜이 자동으로 실행되어 감염된다. 

 

다음과 같은 메일 형태로 전파된다. 

 

보낸 사람(From ) : admin@ (25바이트 만큼의 Space 존재) [메일받는 사람의 도메인]
제목 (Subject) : your account [임의의 문자]
본문 : Hello there,

       I would like to inform you about important information regarding your
       email address. This email address will be expiring.
       Please read attachment for details.

       ---
       Best regards, Administrator
       [제목에 들어간 임의의 문자]

첨부파일 : message.zip

아웃룩을 통해 보내진 메일.

이 메일에는 message.zip라는 첨부파일이 있고, 그 내부에는 message.html파일이 존재한다. 이 파일에는 foo.exe를 포함하고 있고, 취약점을 가진 인터넷 익스플로어로 열어볼 경우 파일이 생성된다.

위의 그림의 왼쪽 하단에 보면 빨간 박스 안에 "Installing components...foo.exe"라고 적혀있다. 이 문자는 foo.exe파일이 설치되고 있음을 뜻한다.

 

Downloaded Program Files 폴더(일반적으로 C:\Windows\Downloaded Program Files 또는 C:\WinNT\Downloaded Program Files)에 ID가 11111111-1111-1111-1111-111111111111인 파일이 생성된다.

이 파일은 message.html에 포함된 foo.exe파일로 웜 바이러스 실행파일이다.

 foo.exe파일은 자동으로 실행되고 윈도우 폴더(일반적으로 C:\Windows 또는 C:\WinNT)에 다음의 파일을 생성한다.

 

videodrv.exe: 웜 바이러스 파일의 본체

eml.tmp: 시스템에서 찾은 메일주소가 저장된 파일

exe.tmp: 생성된 웜 파일의 본체

zip.tmp: exe.tmp 파일을 ZIP으로 압축한 파일, 메일을 발송할 때 첨부되는 message.zip으로 사용된다.

 

웜의 버그 또는 제작자의 의도인지는 알 수 없으나 이전의 message.html파일보다 536바이트씩 크기가 증가하고 따라서 message.zip파일의 크기도 증가한다. 

여러번 감염되면 메일에 첨가되는 파일의 크기가 무한정 증가하므로 메일을 발송할 때 메일서버에 무리가 갈 수 있다.

다음의 레지스트리에 videodrv.exe를 등록해 윈도우를 실행할 때 웜 바이러스가 자동으로 실행되도록 한다. 

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"VideoDriver=videodrv.exe"(videodrv.exe 등록)

 

윈도우 NT계열(NT, 2000, XP)에서 윈도우 작업관리자(Ctrl+Alt+Del키를 동시에 눌러 확인가능)로 videodrv.exe파일이 실행중임을 알 수 있다.

 실행된 웜 파일은 google.com으로 접속을 시도하고, 성공하면 시스템의 거의 모든 파일에서 메일주소를 추출해 해당 주소로 웜 바이러스 실행파일을 첨부한 메일을 발송한다. 

다음의 확장자의 파일에서는 메일 주소를 수집하지 않는다. 

 

수집된 메일을 가지고 자체 SMTP(간이 우편 전송 프로토콜, 인터넷에서 이메일을 전송하기 위한 프로토콜)를 이용해 웜 바이러스를 발송한다. 

 

Win32/Mimail.worm.13856(변형)

 

이 웜 바이러스는 원형인 Win32/Mimail.worm의 변형으로 신용카드 번호와 개인정보 입력 창이 뜨는 것이 특징이고, 2003년 11월 18일에 최초로 발견되었다. 

 

이 웜 바이러스는 다음과 같은 메일 형태로 전파된다.

 

보낸이: "PayPal.com" Do_Not_Reply@paypal.com

제목: IMPORTANT Attachment: www.paypal.com.pif

본문:

Dear PayPal member,

We regret to inform you that your account is about to be expired in next five business days. To avoid suspension of your account you have to reactivate it by providing us with your personal information.

To update your personal profile and continue using PayPal services you have to run the attached application to this email. Just run it and follow the instructions.

IMPORTANT! If you ignore this alert, your account will be suspended in next five business days and you will not be able to use PayPal anymore.

Thank you for using PayPal.

(본문해석:

귀하의 계좌가 영업일 기준으로 5일 이내에 만료됨을 알려드리게 되어 유감입니다. 계좌가 정지되는 것을 막기 위해서는 귀하의 개인정보를 제공하여 계정을 다시 활성화해야 합니다.

귀하의 개인 프로필을 업데이트하고 페이팔 서비스를 계속 이용하려면 이메일에 첨부된 실행파일을 실행시켜야 합니다. 실행시킨 후 지침을 따르십시오.

중요합니다! 이 경고를 무시한다면 귀하의 계좌는 5일 이내에 정지될 것이고 더 이상 페이팔을 사용할 수 없게 됩니다. 

페이팔을 이용해 주셔서 감사합니다. 

 

첨부파일명: www.paypal.com.pif 또는 InfoUpdate.exe (13,856 바이트) 

 

메일에 첨부된 웜 바이러스 실행파일을 실행하면 윈도우 폴더(일반적으로 C:\WinNT 또는 C:\Windows)에 svchost32.exe(14킬로바이트) 파일로 웜 바이러스 실행파일을 복사한다. 

다음으로 레지스트리에 웜 바이러스 파일을 등록해 윈도우가 실행될 때 자동으로 실행되게 한다. 

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"SvcHost32=svchost32.exe"(등록)

 

C 드라이브 루트(C:\)에 다음의 파일을 생성한다.

pp.hta: 신용카드 번호를 입력받은 다음 ppinfo.sys에 저장한다.

pp.gif: PayPal 로고 이미지

index2.hta: 입력받은 개인정보를 ppinfo.sys에 저장한다.

 

웜 바이러스는 앞에서 생성된 pp.hta와 index2.hta를 실행해 다음과 같은 가짜 PayPal 신용카드 결제 화면 창을 통해

신용카드 번호와 개인정보 입력을 유도한다.

가짜 입력창

가짜 입력창

 **위 입력창에 절대로 개인 신용카드 정보를 입력하면 안된다!!**

 

입력된 신용카드 번호와 개인정보는 ppinfo.sys파일에 저장되어 웜 바이러스 제작자의 메일로 보내진다.

입력된 개인정보

 

Win32/Mimail.worm.57888(변형)

 

이 웜 바이러스는 앞에서 다룬 변형 바이러스인 13856과 증상이 비슷하고 추가로 윈도우 익스플로어의 초기 홈페이지를 부시(미국대통령)와 원숭이 사진이 번갈아가며 나오는 이미지로 변경시킨다. 2004년 1월 8일 최초로 발견되었다. 

 

다음의 메일을 통해 전파된다.

 

* 제목 : GREAT NEW YEAR OFFER FROM PAYPAL.COM!
* 본문

*** GREAT NEW YEAR OFFER FROM PAYPAL.COM ***

Dear PayPal.com Member,

We here at PayPal.com are pleased to announce that we have a special New Year offer for you!
If you currently have an account with PayPal then you will be eligible to receive a terrific prize from PayPal.com for the New Year. For a limited time only PayPal is offering to add 10% of the total balance in your PayPal account to your account and all you have to do is register yourself within the next five business days with our application (see attachment)!

If at this time you do not have a PayPal account of your own you can also register yourself with our secure application and get this great New Year bonus! If you fill out the secure form we have provided PayPal will create an account for you (it's free) and you will receive a confirmation e-mail that your account has been created.

That's not all! If you resend this letter (with its attachment) to all of your friends you may be eligible to receive another New Year bonus because the 1000 PayPal members that send the most of these to their friends will get the bonus. If you are one of these 1000 lucky members then PayPal will add 17% of your total balance to your account!

Registration is simple. Just unpack the attachment with WinZip, run the application, and follow the instructions we have provided. If you have problems opening the application then you may want to try downloading a free version of WinZip from http://www.winzip.com

Do not miss your chance at this fantastic opportunity! Thousands of our current customers have already received their prizes and now it's your turn; so hurry up and take advantage of this special offer!

Best of luck in the New Year,
PayPal.com Team

(본문해석:

페이팔에서 여러분을 위한 특별한 새해 제안을 하게 되어 기쁩니다.

현재 페이팔 계정이 있으시면 새해를 맞아 PayPal.com에서 멋진 상품을 받을 수 있습니다. 한시적으로 페이팔만이 귀하의 페이팔 계좌에 있는 총 잔액의 10%를 추가할 것이고 귀하께서 하실 일은 다음 영업일 기준 5일 이내로 당사의 실행프로그램에 등록하는 것입니다(첨부파일을 보십시오).

 

현재 페이팔 계정이 없으시면 보안 응용 프로그램에 등록하고 멋진 새해 보너스를 받을 수 있습니다. 당사에서 제공한 보안 양식을 작성하면 페이팔은 당신의 계좌를 생성하고(무료) 귀하의 계정이 생성되었다는 메일을 받게 됩니다

 

이것이 다가 아닙니다. 이 편지(첨부파일을 포함해서) 귀하의 친구분들께 전송하시면 귀하를 포함해서 1,000명의 대부분의 친구분들이 보너스를 받을 수 있기 때문에 또 다른 새해 보너스를 받을 자격이 주어집니다. 귀하께서 1,000명의 행운을 받은 회원들 중 한 사람이 된다면, 페이팔은 총 잔액의 17%를 귀하의 계좌에 입금합니다.

 

등록은 간단합니다. 첨부된 파일을 WinZip로 압축을 해제한 후, 실행파일을 실행하고, 지시사항을 따르십시오. 첨부된 파일을 여는 데 문제가 있다면 http://www.winzip.com에 접속한 후, WinZip 무료버전을 다운로드하셔야 할 수 있습니다.

 

이 환상적인 기회를 놓치지 마십시오! 현재 수천명의 고객들이 이미 상품을 받았고, 이제 귀하의 차례입니다. 서둘러 특별 제공되는 이점을 가지십시오.

 

새해에 행운을 빕니다. 

페이팔 팀.) 

* 첨부파일 : pp-app.zip

 

웜 바이러스 실행파일을 실행시키면 윈도우 폴더(일반적으로 C:\WinNT, C:\Windows)에 웜 바이러스 파일을 winmgr32.exe로 복사하고, www.google.com사이트 접속여부로 인터넷 연결을 확인한 다음 활동을 시작한다.

레지스트리를 변경해 윈도우를 시작할 때 웜 바이러스를 실행되게 한다. 

 

특징적 증상으로는 인터넷 익스플로어의 초기 홈페이지를 다음의 부시(미국대통령)와 원숭이 사진이 번갈아가며 나오는 이미지가 출력되게 한다.

 또한 신용카드 번호와 개인정보 입력 창이 뜨고, 입력을 하면 그 정보를 웜 바이러스 제작자들에게 보낸다.(이 부분은 13856과 비슷하다)

 

Win32/Mimail.worm.14880(변형)

 

14880은 Win32/Mimail.worm의 변형 중 하나로 2004년 2월 5일 오전에 발견되었다. 메일을 통해 전파되고, 감염된 컴퓨터는 윈도우 폴더에 Kaspersky.exe 파일을 생성하는데 이 파일은 특정한 사이트를 공격하는 기능을 수행한다. 

 

이 웜은 다음의 메일 형태로 전파됨이 발견되었다(*사실과 다를 수 있다). 

 

* 제목 : So far, always "Re:Gollum"
* 본문

"Hi Gollum its Nancy.
I was shocked, when I found out that it wasn't you but your twin
brother, that's amazing, you're as like as two peas....."
(이하 생략)

* 첨부 파일: Fail.hta (이외 암호가 걸려있는 zip 파일 등)

 

메일의 형태는 다음의 내용 중에서 조합된다.

 

* 제목
- private|only for you|just for you|imortant|very important
- pics|images|pictures|photos|photo|picture
- smart|cool|sexy|super
- Re: |Re[2]: |Re[3]:

* 본문
- ok?|okay?|deal?|I trust you.|I rely on you.
- anybody else|to somebody|to your bro|to your mom|to your boss
|to my bf |to your boyfriend|to your b/f|to my b/f
- it|photos|images|pictures
- show|send
- don't|do not
- Heh|Please|So|I beg you|Well|And|But
- photos|pictures|images
- good |cool |excellent
- many |some |a lot of
- make|create
- camera|device|cam
- photo|video
- canon|hp|samsung|viewsonic|acer|toshiba|LG
|siemens|nokia|sony|panasonic|philips
- digital
- switched on|power on|turned on
- But |And
- !|!!!|.|:)|:))|=)| %-)| %-( )| %-)))

 

*첨부파일

- my|priv|private|prv|the|best|super|great|cool|wild|sex|fuck
- pic|img|phot|photos|pctrs|images|imgs|scene|plp|act|action
- pif|.scr|.exe|.jpg.scr|.jpg.pif|.jpg.exe|.gif.exe|.gif.pif|.gif.scr

 

웜 바이러스 실행파일을 실행시키면 윈도우 폴더(일반적으로 C:\Windows 또는 C:\WinNT)에 다음의 웜 바이러스 파일들을 만든다.

kaspersky.exe (14,880바이트)

ee98af.tmp(14,880바이트)

 

다음으로 google.com에 접속해 접속되면 인터넷이 되는 것으로 판단해 감염된 시스템의 파일을 검색해 메일 주소를 수집해 메일을 발송한다. 그 다음으로 레지스트리 내용을 추가해 윈도우가 시작되면 웜 바이러스가 자동으로 실행되게 한다.

 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

KasperskyAv에 "C:\WINNIT\kaspersky.exe"

 

이 웜 바이러스 내부에는 자신의 메일 계정을 삭제한 회사나 호스팅 업체에 대한 DDoS공격을 하겠다는 경고문을 담고 있다.

*** GLOBAL WARNING: if any free email company or hosting company will close/filter my email/site accounts, it will be DDoS'ed in next version. WARNING: centrum.cz will be DDoS'ed in next versions, coz they have closed my mimail-email account. Who next? ***

국제적 경고: 자유로운 이메일 회사 또는 호스팅 회사 중에서 어느 누구라도 내 이메일 또는 사이트 계정을 폐쇄한다면 그 사이트는 DDoS공격을 받을 것이다. 경고문: centrum.cz사이트는 DDoS공격을 받을 것이다. 왜냐하면 그들은 내 이메일 계정을 폐쇄시켰기 때문이다. 다음으로 공격받을 사이트가 있는가?

 

다음의 사이트를 공격하는 기능이 있다. 이 웜에 감염된 시스템이 많을 수록 공격 기능이 증가한다.

 

- spews.org
- darkprofits.net
- darkprofits.cc
- darkprofits.com

 

언론보도:

www.fnnews.com/news/200308030953472524

‘미메일웜’ 감염 주위

www.hankyung.com/it/article/2003110120208

`미메일 웜' 변종 급속 확산

www.knnews.co.kr/news/articleView.php?idxno=379298

신종 `미메일 웜` 국내 유입, 주의 요망

www.inews24.com/view/102294

'미메일' 변종 웜 급속 확산...주의 당부

 

참고:

안철수연구소

www.f-secure.com/v-descs/mimail_gen.shtml

www.f-secure.com/v-descs/mimail_j.shtml

virus.wikidot.com/mimail