Win32/Mugly.worm.423814/327168

Win32/Mugly.worm.423814/327168

 

 

Win32/Mugly.worm.423814

 

이 웜 바이러스는 메일로 전파되고 어느 나라에서 제작되었는지 알 수 없으며 2004년 11월 29일에 최초로 발견되었다. 

 

메일은 다음과 같은 형식을 갖는다.

 

메일제목: 다음 중에서 무작위 선택

- Your Pic On A Website!!
- Hhahahah lol!!!!
- You have an Admirer
- Rate My Pic.......

 

메일본문: 다음 중에서 무작위 선택

i found this on my computer from ages ago
download it and see if you can remember it
lol i was lauging like mad when i saw it! :D
email me back haha...

I was looking at a website and came across
this pic they look just like you! infact im sure
it is lol , did you send this pic into them ? or
is it someonce else :S ? Ive Added the pic in
a zip so download it and check & email me back!

Hi ive sent 5 emails now and nobody will rate
my pic!! :( please download and tell me what you
think out of 10 , dont worry if you dont like it
just say i wont be offended p.s i was drunk when
You have an Admirer

Someone has asked us on there behalf to send
you this email and tell you they think you are
Regards Hallmark Admirer Mail Admin.
wonderfull!!! All the The mystery persons details
the attachment :)
please download and respond telling us if you
would like to make further contact with this
person.

 

첨부파일명: 다음 중 무작위 선택

- attached.zip
- Pic_001.exe
- Photo_01.pif
- admire_001.exe
- is_this_you.scr
- love_04.scr
- for_you.pif

 

이 웜 바이러스는 다음의 확장자에서 메일주소를 추출한 다음 발송한다. 

- .wab
- .adb
- .tbb
- .dbx
- .asp
- .php
- .htm
- .html
- .sht
- .txt
- .doc

 

단, 다음의 문자열이 포함된 메일주소로는 발송하지 않는다.

- adaware
- nod32
- trendmicro
- avguk
- grisoft
- pandasoftware
- sophos
- .gov
- symantec
- lavasoft
- mcafee
- kaspersky

(백신업체 이름 또는 정부기관 이름들이다)

 

이 웜 바이러스가 실행되면 다음의 이미지가 출력된다.

겉보기에는 중년 남성으로 보이지만 자세히 보면 사람이 아님을 알 수 있다.

다음으로 윈도우 시스템 폴더에 다음의 파일들이 생성된다. 

 

c:\windows\system32\ansmtp.dll 메일발송 SMTP 모듈, 정상파일
c:\windows\system32\attached.zip 웜 바이러스의 본체, ZIP으로 압축된 형태
c:\windows\system32\bszip.dll 압축관련 모듈
c:\windows\system32\svkp.sys 실행압축 프로그램 관련 파일
c:\windows\system32\uglym.jpg 화면에 출력되는 이미지 파일
c:\windows\system32\winit.exe 실행압축되어 있으며 악성 IRCBot

c:\windows\system32\xxz.tmp 비주얼 베이직으로 작성되었고 실행압축된 형태

 

위의 파일 중 winit.exe는 악성 IRCBot으로 다음과 같이 레지스트리에 등록된 후 매번 부팅시 마다 실행된다. 

 

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
virtual = winit.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
virtual = winit.exe

 

winit.exe는 실행된 후 TCP/445번 포트를 이용해 B클래스 대역에 대해 IP를 순차적으로 증가시키며 RPCDCOM Exploit 관련 SYN패킷을 대량으로 발송한다. 여기서 언급한 악성 IRCBot은 다음의 증상을 가지고 있다.

 

-특정 사이트에 대한 DDoS 공격

-키로거(타자 기록을 저장해서 제작자에게 전송)기능

-특정한 게임들의 CD-Key 탈취

-호스트 파일 조작으로 인한 보안업체 사이트 접속방해

-알려진 운영체제(OS) 취약점을 이용한 공격 및 웜 바이러스 감염

-보안관련 응용 프로그램의 프로세스를 강제로 종료

 

Win32/Mugly.worm.327168

 

이 웜 바이러스도 앞에서 다룬 423814처럼 메일로 전파되고 악성 IRCBot 실행파일도 존재한다. 2005년 1월 11일에 최초로 발견되었고, 제작국가는 불명이다. 

 

메일 형식:

 

발송자/송신자: 다음 중 무작위 선택(스푸핑(속임)을 목적)

 

- godfather@hotmail.com
- alex@hotmail.com
- George@gmail.com
- marija@hotmail.com
- mary13@gmail.com
- cutie88@ogrish.com
- BARBARA@hotmail.com
- Jane78@hotmail.com
- britany56@sex.com
- michael77@gmail.com
- admirer12@yahoo.com
- funyblock@hotmail.com
- tit_fuck_909@paltalk.com
- barby56@aol.com
- Jane44@download.com

 

제목: 다음 중 무작위 선택

 

- HAPPY NEW YEAR!!!
- MARY CHRISTMAS from our family

 

본문: 

 

- All the best in new year from our family
here is a litle attachment to make you smile in new year
i was lauging like mad when i saw it! :D
email me back haha...

- All the best in new year and christams from our family

 

첨부파일: 다음 중 무작위 선택

 

- attached.zip
- Sexy_new_year.scr
- HOT_NEW_YEAR.scr
- Marry_christmas.scr
- with_love.scr
- From_my_hart.scr
- new_year.scr
- Hot_new_year.scr

 

웜 바이러스 실행파일을 실행하면 다음의 파일들이 생성된다. 

 

• ANSMTP.DLL - 메일 발송 파일

• ATTACHED.ZIP - 웜 바이러스 실행파일을 포함하는 압축 파일

• BSZIP.DLL - 압축 관련 파일

• NEWYEAR.JPG - 새해 축하 그림 파일

• VB6.EXE - 악성 IRCBot 실행파일

• XXZ.TMP - 웜 바이러스 파일

*윈도우 시스템 폴더는 사용하는 윈도우 에 따라 다르다.

윈도우 9x(95, 98, me)는 C:\Windows\System, 윈도우 NT(NT, 2000)는 C:\WinNT\System32, 윈도우 XP는 C:\Windows\System32

 

다음의 그림이 화면에 출력된다.

*위 문구는 나체 상태의 사람들이 몸으로 나타낸 글자여서 흐릿하게 처리되었다. 

 다음의 확장자 이름을 갖는 파일에서 이메일 주소를 수집한다.

• .adb

• .asp

• .dbx

• .doc

• .htm

• .html

• .php

• .sht

• .tbb

• .txt

• .wab

단, 다음의 문자가 포함된 파일에서 수집하지 않는다.

• .gov

• adaware

• avguk

• grisoft

• kaspersky

• lavasoft

• mcafee

• nod32

• pandasoftware

• sophos

• symantec

• trendmicro

 

참고:

안철수연구소

www.eset.hu/tamogatas/viruslabor/virusleirasok/wurmark-a

www.vsantivirus.com/wurmark-b.htm

www.trendmicro.com/vinfo/dk/threat-encyclopedia/archive/malware/worm_wurmark.d