[Virus] Win32/Conficker.worm.173318

학생 설계 프로젝트의 사전 미팅을 위해 합숙 아닌 합숙을 하면서 피씨방에서 시간을 때우게 되면서 특정 사이트가 접속되지 않는 경우를 발견하게 되었다.

첫째로 백신 관련 ActiveX , Plugin 등이 동작되지 않는다.

둘째로 대다수의 백신 사이트에 접속이 되지 않는다.

셋째로 특정 백신들이 실행중 오류를 내거나 업데이트가 되지 않는다.

뭐... 어차피 결국 같은 내용과 다름이 없다.  그런데 이는 얼마전 2090바이러스(가칭) 보다 한달 전에 이미 윈도우 취약성을 통해 경고되고 패치가 완료된 상황이었는데 그 피씨방은 윈도우 업데이트에도 신경을 쓰지 않았고 윈도우 셋팅 자체도 SP2 에서 더이상 신경을 쓰지 않은 시스템이었다.

결국 이는 기존 SP2 이전의 Blaster 웜과 유사한 전파경로와 상황을 가져오고 있는 것이다. 

Conficker.Work 에 관한 정보는 다음과 같다.  출처는 Ahnlab [링크] 이다.

명칭 Win32/Conficker.A, W32.Downadup.B 개요 Win32/Conficker.worm.173318은 윈도우 서버 서비스 원격코드 실행 취약점을 이용하여 전파 되는 악성코드이다. 해당 취약점이 존재하는 경우 감염 될 수 있으며 감염 후 시스템은 주변의 다른 시스템을 감염 시킨다. 또한 취약한 관리목적공유폴더나 USB 형태의 이동식 디스크 등으로 자신을 전파 하기도 한다. 본 글을 작성하는 현재에도 다수의 변형이 발견, 보고 되었으며 본 정보는 해당 변형에 대한 공통적인 내용을 담고 있다. * 전파 경로 Win32/Conficker.worm.173318 은 다음과 같은 3가지 방법으로 자신을 스스로 전파한다. - 윈도우 서버 서비스 원격 코드 실행 취약점 * (MS08-067 보안 취약점 정보 보기) - 취약한 암호를 가진 관리목적공유폴더 admin$ - USB 형태의 이동식 저장 디스크 * 실행 후 증상 Win32/Conficker.worm.173318 은 감염 후 다음과 같은 특정 폴더에 자신의 복사본(*.dll파일) 을 생성하는데 파일명은 랜덤 하다. - \프로그램 파일 폴더\Movie Maker - \프로그램 파일 폴더\Internet Explorer - \Temp - \시스템 폴더\ 악성코드는 자신의 파일에 대한 보안속성을 변경하고 원격파일 핸들을 오픈 하는등 자신의 파일이 진단 및 삭제 되지 않도록 하고 있기 때문에 일반적인 방법으로는 제거하기 어렵다. 주) 윈도우 시스템 폴더는 사용 윈도우에 따라 다르며 보통 윈도우 95/98/ME는 C:\Windows\System, 윈도우 NT/2000은 C:\WinNT\System32, 윈도우 XP는 C:\Windows\System32폴더이다. 그리고 자신을 서비스로 등록하는데 다음과 같은 문자열을 조합한 디스플레이명을 생성한다. Center Config Driver Helper Image Installer Manager Microsoft Monitor Network Security Server Shell Support System Universal Update Windows 악성코드는 다음과 같은 서비스를 중지 한다. Background Intelligent Transfer Service (BITS) Windows Automatic Update Service (wuauserv) 또한 자신을 더욱 빠르게 전파 시키기 위해서 다음의 윈도우 설정을 변경하거나 파일을 변경 한다. - 윈도우 비스타 netsh interface tcp set global autotuning=disabled HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ Tcpip\Parameters\"TcpNumConnections" = "(설정값 변경)" - 윈도우 XP SP2 tcpip.sys 파일을 수정하여 TCP/IP 동시 연결 설정을 수정 하도록 해둔다. 악성코드는 자신을 전파 하기 위하여 다음과 같은 과정을 거친다. 다음 호스트에 접속하여 감염된 시스템의 IP 정보를 가져온다. http://www.getmyip.org http://www.whatsmyipaddress.com http://getmyip.co.uk http://checkip.dyndns.org 감염된 시스템은 HTTP 서버가 되는데 포트는 임의의 포트가 할당 된다. 그리고 원격 시스템에 해당 URL 을 보내어 취약점이 성공할 경우 해당 URL 로 부터 파일을 가져와 취약점이 존재하는 시스템에서 실행 되도록 한다. 악성코드는 자신을 svchost.dll 에 의해서 서비스로 실행 되도록 할 때 다음과 같은 함수를 후킹하여 자신의 코드를 가르키도록 해둔다. ZwQueryInformationProcess 함수 후킹을 통하여 해당 코드에서 수행하는 작업은 자시의 복사본에 대한 시스템 폴더에 파일 생성 및 레지스트리 관련 작업 쓰레드를 수행한다. Ntdll.dll - ZwQueryInformationProcess Netapi32.dll - NetpwPathCanonicalize NetpwPathCanonicalize 함수 후킹은 PathName 의 크기를 확인 한 후 더 이상 해당 함수가 취약점에 이용 되는 것을 차단 하는데 이는 다른 변형을 감염 시키지 못하도록 하는 것으로 추정 된다. 또한 DNS_Query 관련 함수를 후킹 해두는데 다음과 같은 특정 문자열이 포함된 DNS 를 모니터링 하여 연결 요청시 이를 연결 되지 못하도록 한다. ahnlab arcabit avast avira bit9. castlecops Ccert. centralcommand clamav comodo computerassociates cpsecure defender drweb emsisoft esafe etrust ewido f-prot f-secure fortinet gdata grisoft hacksoft hauri ikarus jotti k7computing kaspersky malware mcafee microsoft networkassociates nod32 norman norton panda pctools prevx quickheal rising rootkit sans. securecomputing sophos spamhaus spyware sunbelt symantec threatexpert trendmicro virus wilderssecurity windowsupdate 또한 다음과 같은 취약한 암호를 사용하는 관리목적 공유폴더인 경우 암호 설정을 변경 하도록 해야 한다. 취약한 암호를 사용한 경우 악성코드에 감염 될 수 있는데 이 경우 자신의 복사본을 시스템 폴더에 생성하고 작업 스케줄러에 등록 되어 실행 되도록 해둔다. 00000 0000000 00000000 0987654321 11111 111111 1111111 11111111 123123 12321 123321 12345 123456 1234567 12345678 123456789 1234567890 1234abcd 1234qwer 123abc 123asd 123qwe 1q2w3e 22222 222222 2222222 22222222 33333 333333 3333333 33333333 44444 444444 4444444 44444444 54321 55555 555555 5555555 55555555 654321 66666 666666 6666666 66666666 7654321 77777 777777 7777777 77777777 87654321 88888 888888 8888888 88888888 987654321 99999 999999 9999999 99999999 a1b2c3 aaaaa abc123 academia access account admin Admin admin1 admin12 admin123 adminadmin administrator anything asddsa asdfgh asdsa asdzxc backup boss123 business campus changeme cluster codename codeword coffee computer controller cookie customer database default desktop domain example exchange explorer files foobar foofoo forever freedom games home123 ihavenopass internet Internet intranet killer letitbe letmein login Login lotus love123 manager market money monitor mypass mypassword mypc123 nimda nobody nopass nopassword nothing office oracle owner pass1 pass12 pass123 passwd password Password password1 password12 password123 private public pw123 q1w2e3 qazwsx qazwsxedc qqqqq qwe123 qweasd qweasdzxc qweewq qwerty qwewq root123 rootroot sample secret secure security server shadow share student super superuser supervisor system temp123 temporary temptemp test123 testtest unknown windows work123 xxxxx zxccxz zxcvb zxcvbn zxcxz zzzzz [레지스트리 등록] 윈도우 부팅시 마다 자신을 자동 실행 되기 위해서 다음과 값을 설정 해둔다. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"(랜덤한 이름)" = "rundll32.exe "(랜덤한 파일명).dll", 랜덤한 파라미터" 악성코드는 파일속성을 기록, 읽기전용, 숨김, 시스템 설정을 해두는데 다음과 같은 설정을 변경함으써 탐색기에서 자신을 보이지 않도록 해둔다. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue" = "0"

다른 백신업체들에서는 아래 리스트와 같이 진단한다.

Kaspersky            7.0.0.125    2009.02.09    Net-Worm.Win32.Kido.fa
McAfee                      5520    2009.02.08    W32/Conficker.worm.gen.a
McAfee+Artemis          5520    2009.02.08    W32/Conficker.worm.gen.a
NOD32                        3838    2009.02.09    a variant of Win32/Co
AhnLab-V3               5.0.0.2    2009.02.09    Win32/Conficker.worm.167765
AntiVir                    7.9.0.76    2009.02.09    Worm/Kido.FA
Authentium               5.1.0.4    2009.02.08    W32/Downadup.B
Avast                  4.8.1335.0    2009.02.08    Win32:Confi
AVG                     8.0.0.229    2009.02.09    I-Worm/Generic.CME
BitDefender                   7.2    2009.02.09    Win32.Worm.Downad
F-Prot                    4.4.4.56    2009.02.08    W32/Downadup.B
F-Secure           8.0.14470.0    2009.02.09    Worm:W32/Downadup.DHup.Gennficker.X

취약성에 관한 정보는 http://www.microsoft.com/korea/technet/security/bulletin/ms08-067.mspx 에서 찾을 수 있으며 관련 다운로드도 받을 수 있다.

필수적으로 패치하는 것이 좋을 듯 하다.