본문바로가기 3.17.162.250

대구가톨릭대학교 DAEGU CATHOLIC UNIVERSITY 대구가톨릭대학교 DAEGU CATHOLIC UNIVERSITY

모바일 메뉴 닫기
모바일 메뉴 열기
상단배경사진

DCU광장

Community

추천검색어

검색창 닫기
메인으로
텍스트 크게 텍스트 크기 초기화 텍스트 작게 페이지 인쇄 메뉴 열기

바이러스/보안게시판

[웜 바이러스경보] Win32/Munu
작성일 : 2003/06/30 작성자 : 전산정보팀(전산정보팀) 조회수 : 9436

Win32/Munu.B 웜 바이러스에 대한 경보가 발령되었습니다.
윈도우즈의 관리목적 공유폴더를 통하여 전파되는 바이러스로
키보드에서 입력되는 모든 내용이 노출될 수 있음으로 주의 하시기 바랍니다.
 
V3사용자께서는 백신을 최신(6월 27일 이후버젼)으로 업데이트하시고, 실시간 감시를
켜놓고 사용하시기 바랍니다.
-----------------------[ 웜 경보 내용 ]---------------------------
안녕하십니까?
한국정보보호진흥원의 CERTCC-KR 입니다.
W32.Mumu.B 웜 바이러스 예보 (웜)바이러스 주의예보를발령합니다.
------------------------------------------
[바이러스 주의예보VN2003296]
☆ 개요
이 웜 바이러스는 중국에서 제작된 것으로 추정되며, 6월 27일 국내 유입 확인되었다. 윈도우 2000 / XP의 관리목적공유(IPC$)폴더를 통하여 전파되며, 키로깅 프로그램이 설치되어 사용자의 키보드 입력내용이 노출될 수 있으므로 윈도우즈 사용자들의 주의가 요구된다.

☆ 전파방법
윈도우 2000 / XP의 관리목적공유(IPC$)폴더를 통해 전파된다.
실행이 되면 랜덤한 IP 대역을 선정후 해당 IP 대역에 대하여 IPC$ 공유된 시스템을 찾고, 다음 리스트의 패스워드를 대입하여 연결을 시도한다.
<패스워드가 설정되지 않은 경우>
123
1234
12345
123456
1234567
12345678
654321
54321
1
111
11111
!@#$
!@#$%
!@#$%^
!@#$%^&
!@#$%^&*
!@#$%^&*(
!@#$%^&*()
KKKKKKK
※이외에도 유추하기 쉬운 패스워드를 사용하는 것은 보안상 매우 취약하므로, 패스워드를 자신만 아는 고유한 패스워드로 길고 복잡하게 설정하는 것이 안전하다.

☆ 피해증상
o 웜은 감염대상이 발견되면 윈도우 시스템 폴더에 (일반적으로 C:WinNTSystem32,
C:WindowsSystem32 ) 자신을 복사하고 감염된 시스템에서 원격에서 파일을 실행할 수 있는 유틸리티를 이용하여 웜의 본체인 mumu.exe (294,912 바이트)를 실행한다. 실행되면 윈도우 폴더(일반적으로 C:Windows, C:WinNT)와 윈도우 시스템 폴더에 다음 파일들이 존재한다.
· C:윈도우 폴더 boy.exe (20,480 바이트) -> 키로거 본체
· C:윈도우 시스템 폴더 boy.dll (36,864 바이트) -> 키로거 모듈
· C:윈도우 시스템 폴더IPCPass.txt (510 바이트) -> 암호 리스트
· C:윈도우 시스템 폴더kavfind.exe (30,208 바이트)
-> 임의의 IP 대역에 대하여 IPC$ 공유된 시스템을 찾아주는 유틸리티
· C:윈도우 시스템 폴더last.exe (20,480 바이트) -> 키로거 본체
· C:윈도우 시스템 폴더mumu.exe (294,912 바이트) -> 웜 본체
· C:윈도우 시스템 폴더psexec.exe (36,352 바이트)
-> 원격에서 파일을 실행해주는 유틸리티
o 다음의 레지스트리 값을 추가하여 부팅시마다 실행되도록 한다.
·HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
Folder Service = qjinfo.exe
·HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
Kernel=C:윈도우 폴더 boy.exe
o 웜은 하드코딩된 SMTP 주소를 이용하여 특정 사용자에게 메일을 발송하는 값을 가지고 있다.
o 웜은 다음과 같은 Mutex(두번이상의 실행을 막는 방법)를 생성하여 웜이 메모리(프로세스)에서 중복 실행되는 것을 막는다.
- qjinfo1mutex
- qjinfo2mutex

☆ 감염시 치료방법
o 백신프로그램을 최신버전으로 업데이트 한 다음 검사하여 치료한다.
o 재감염을 막기 위해서는 반드시 관리자 계정(Administrator)의 패스워드를 자신만 알고있는 길고 복잡한 패스워드로 변경한다.

☆ 예방법
관리목적공유폴더(IPC$)가 존재하는 경우 무조건 전파되는 것은 아니라 패스워드가 설정되어 있지 않거나, 설정되어 있어도 짧고 쉬운 패스워드로 설정되어 있는 경우, 몇 개의 패스워드를 대입하여 해당 시스템에 접속을 시도한다. 따라서 웜에 감염되지 않도록 관리자 계정(Administrator)의 패스워드를 자신만이 아는 고유한 패스워드로 길고 복잡하게 설정해야 한다.

☆ 참조사이트

-----------------------[ 웜 경보 내용 ]---------------------------
댓글 작성
최상단 이동 버튼