님다 바이러스 급속확산

[전영석]

님다 바이러스 급속 확산(뚜껑 안열어도 바이러스감염)

이메일 열지않아도 감염
신종 바이러스 `님다'가 등장해 빠르게 퍼지면서 인터넷 사이트 접속과 전자우편 송수신을 방해하고 웹 서버와 랜을 다운시키는 피해를 주고 있다. 특히 이 바이러스는 `내용 미리보기' 기능을 이용하는 상태에서 전자우편 제목을 선택하는 것만으로도 감염돼 피해가 더욱 확산되고 있다.

디지탈이지스와 하우리 등 컴퓨터 보안·바이러스 전문업체들은 19일 님다 바이러스 피해 신고가 잇따르고 있다며 컴퓨터 사용자와 서버 운영자들의 주의를 당부했다. 정보통신부도 이날 님다 바이러스 주의보를 발령했다.

님다 바이러스는 전자우편, 네트워크, 운영체제로 마이크로소프트의 윈도엔티와 윈도2000을 사용하는 웹서버 등 3가지 경로를 통해 감염되며, 지금까지 나온 바이러스 가운데 가장 빠른 속도로 전파되고 있다. 특히 웹 서버에 숨어있다가 다른 서버의 취약한 부분을 공격해 감염시키거나, 홈페이지를 방문한 네티즌 컴퓨터로 옮겨가기도 한다.

전자우편을 통해 전파될 때는, 전자우편에 첨부된 `readme.exe' 파일에 숨어 퍼진다. `내용 미리보기' 기능을 이용하고 있을 때는 첨부파일을 열지 않고 바로 삭제해도 감염된다.

님다 바이러스에 감염되지 않으려면 먼저 전자우편 프로그램의 `내용 미리보기' 기능을 해지하고, 파일 공유를 모두 해지하거나 쓰기 권한을 제한해야 한다. 아웃룩에서는 `도구', `옵션', `기타' 메뉴를 차례로 클릭한 뒤 `미리보기 창에서 읽었을 때 읽은 것으로 표시'를, 아웃룩익스프레스에서는 `보기'와 `레이아웃'을 누른 뒤 `미리보기 창 표시'를 선택하지 않은 것으로 해놓으면 내용 미리보기 기능이 해지된다.

또 마이크로소프트가 홈페이지(microsoft.com/technet/security/bulletin/ms00-078.asp)에 올려놓은 패치파일을 내려받아 설치하고, 백신프로그램을 이 날 새로 올려진 것으로 업데이트해야 한다.

김재섭 기자jskim@hani.co.kr




W32/Nimda Worm

◆ 개요

인터넷서비스(www, e-mail, tftp )를 이용하여 전파되고, 웹 컨텐츠를 변경하는 것으로, 그외의 다른 특별한 파괴적인 행위는 하지 않으나, DoS 공격을 시도하여 네트워크 트래픽을 마비 시키는 복합적인 Worm partten으로 미국 테러이후 미국을 의미하는 Admin (=minda )과 3차 대전을 의미하는 W32 (=to 3 war )을 의미한다고 한다.


◆ 감염 증상

IIS 서버에서 불특정 다수의 IP address 로 Dos 공격을 시행하는 형태로 네트워크가 느려지는 현상이 나타날 수 있다.


◆ 패턴 분석

1.전파

1)Email을 통한 전파

이 웜은 두 개의 섹션으로 구성된 MIME "multipart/alternative"메시지를 통해 전파된다.

첫 번째 섹션은 MIME 타입 "text/html"을 정의하고 있으며 어떠한 text도 포함하고 있지 않다. 따라서 E-mail은 어떠한 컨텐츠도 포함하고 있지 않다. 두 번째 섹션은 MIME 타입 "audio/x-wav"를 정의하고 있으며, base64로 암호화된 실행가능한 바이너리 코드인 "readme.exe"이름의 파일을 포함하고 있다.

"Automatic Execution of Embedded MIME Types"취약점을 통해서 HTML 메일을 자동으로 실행시키는 Microsoft Intetnet Explorer 5.5 SP1 이나 그 이전버전(IE 5.01 SP2를 제외한)을 사용하는 x86 플랫폼상에서 구동되는 메일 소프트웨서는 이 웜에 감염된다. 따라서 이 웜은 이 메일을 간단히 열어봄으로서 자동으로 감염되며, 실행코드기 때문에 첨부파일을 실행시킴으로서 간단히 감염될 수 있다.


Nimda 웜을 전파하는 E-mail은 다음의 특징을 가지고 있다.

-메일의 제목란의 문자는 가변적이지만 80문자 이상이다.

-첨부된 바이너리 파일에 근소한 차이가 있다. 이것은 MD5 Checksum이 다르기 때문이다.

그러나 첨부파일의 파일 길이는 일관되게 57344 바이트이다.



2)브라우져를 통한 전파

Nimda웜은 모든 웹컨텐츠 파일(.htm, .html,그리고 asp를 포함해서)을 변경한다. 그 결과 시스템에 있는 웹컨텐츠를 브라우징하는 모든 사용자는 웜을 다운받는다. 몇몇 브라우저는 다운로드받은 파일을 자동으로 실행시켜서 시스템을 감염시킨다.


3)File System을 이용한 전파

Nimda 웜은 쓰기가능한 모든 디렉토리(네트웍공유에서 발견되는 디렉토리 포함)에 README.EML 이름의 수많은 카피를 생성한다. 만약 다른 시스템의 사용자가 공유된 네트웍에서 웜파일의 카피본을 preview 옵션이 가능한 Windows Explorer에서 선택했다면 웜에 감염될 수 있다.


4)IIS 웹을 통한 전파

감염 된 웜은 다른 IIS 서버로 Directory Traversal 취약점(Code Blue worm ),Unicode Bug,Index Server ISAPI Extension Buffer Overflow (Code Red,etc ..)의 취약점을 이용하여 감염시킨다.



◆ 감염 시스템

MicroSoft Windows 95,98,ME,NT and 2000,XP beta


◆ 대응 및 패치

가장 안전한 시스템 복구 방법은 시스템을 포맷하고 재 인스톨하는 것이 낫다. 그리고 Off-line 상태에서 패치를 적용 한 후 보안패치를 적용 하는 것이 중요하다.


1. IIS 사용자

Unicode Bug 의 패치 이후 SP2,Code Red 용 HotFix를 순차적으로 패치 한 시스템은 새로 발표 된 통합 패치를 적용 하여 주는 것이 낫다.

http://www.microsoft.com/technet/security/bulletin/MS01-044.asp

http://www.microsoft.com/technet/security/bulletin/MS01-078.asp


2. 일반사용자

Internet Explorer(IE)를 사용 하는 사용자는 “Automatic Execution of Embedded MIME Types"취약점에 대한 패치를 한다.

http://www.microsoft.com/technet/security/bulletin/MS01-020.asp


제거 수동제거 -

윈도폴더(일반적으로 C:\ Windows)에서 System.ini파일을 메모장으로 오픈한다.

항목중 "Shell =explorer.exe load.exe -dontrunold"부분이 존재 하면, 이 부분을 Shell =explorer.exe으로 변경한다.

-C:\ Windows\ system\ load.exe 삭제한다.

-공유되어 있는 폴더 모두 공유해제 또는 읽기권한으로만 공유한다.

-찾기기능을 이용하여 .eml로 끝나는 모든 파일 삭제한다.

-readme.exe 파일 찾아서 삭제한다.


◆ 참고 사이트

보안 Alert 사이트

http://www.certcc.or.kr/paper/incident_note/2001/in2001_015.html

http://www.cert.org/advisories/CA-2001-26.html

http://www.incidents.org/react/nimda.php

http://xforce.iss.net

바이러스 업체 사이트

http://www.hauri.co.kr/virus/vir_info_sum.html?uid=218

http://www.sarc.com/avcenter/venc/data/w32.nimda.a@mm.html

http://www.trendmicro.co.kr/menu02/virus_search_detail.asp?id=266&vWork=3&Cat=&Main=&Name=nimda&ActionM=&ActionD=&ActionDay=

-http://home.ahnlab.com/search/virus_detail_866.html

<자료제공 : 시큐어소프트>