☆ 개요
Naco.B 웜 바이러스는 5월 26일 외국에서 발견되어 아직 국내로 유입되지 않은 것으로 보이나, 메일의 첨부파일과 네트워크 공유를 통해 전파되어 확산속도가 빠르고 백도어를 통한 정보유출 가능성이 있으므로 윈도우즈 사용자들의 주의가 요구된다.
☆ 전파방법
메일과 KaZaA등의 네트워크 공유를 통해 전파됨.
o 메일을 통해 전파되는 경우
제목: (다음 중 임의로 선택되어짐)
What New in TechTV!
Do you happy?
Great News! Check it out now!
Just for Laught!
TIPs: HOW TO JUMP PC TO PC VIA INTERNET?
FoxNews Reporter: Hello! SARS Issue!
Get Free XXX Web Porn!
Oh, my girl!
Crack - Download Accerelator Plus 5.3.9
Do you remember me?
The ScreenSaver: Wireless Keyboard
VBCode: Prevent Your Application From Crack
Re: are you married?[1]
Download WinZip 9.0 Beta
Young and Dangerous 7
Alert! W32.Anacon.B@mm Worm has been detected!
Run for your life!
Update: Microsoft Visual Studio .Net
Your Password: jad8aadf08
Tired to Search Anonymous SMTP Server?
<blank.subject>
본문내용 :
Hello dear,
Im gonna missed you babe, hope we can see again!
In Love,
Rekcahlem ~<>~ Anacon
첨부파일 : (다음 중 임의로 선택되어짐)
wars.exe , anacon.exe , build.exe , force.exe , scan.exe
runtime.exe , hangup.exe , hungry.exe , thing.exe , against.exe
o P2P 네트워크 공유를 통해 전파되는 경우
KaZaA 등의 P2P 이용시에 감염된 사용자의 공유폴더에서 다른 접속자에게 파일이름을 다양하게 변경시켜 놓아, 유사한 이름이 검색되면 찾는 파일인 것처럼 사용자를 속여 파일을 다운받도록 유도
- 아래와 같은 디렉토리가 있으면
ProgramFilesKMDMy Shared Folder
ProgramFilesKazaaMy Shared Folder
ProgramFilesKaZaA LiteMy Shared Folder
ProgramFilesMorpheusMy Shared Folder
ProgramFilesGroksterMy Grokster
ProgramFilesBearShareShared
ProgramFilesEdonkey2000Incoming
ProgramFileslimewireShared
- 웜은 다음과 같은 파일이름으로 자신을 복사함
The Matrix Evolution.mpg.exe
The Matrix Reloaded Preview.jpg.exe
Jonny English (JE).avi.exe
DOOM III Demo.exe
winamp3.exe
JugdeDread.exe
Microsoft Visual Studio.exe
gangXcop.exe
Upgrade you HandPhone.exe
About SARS Solution.doc.exe
Dont eat pork. SARS in there.jpg.exe
VISE.exe
MSVisual C++.exe
QuickInstaller.exe
Q111023.exe
jdbgmgr.exe
WindowsXP PowerToys.exe
InternationalDictionary.exe
EAGames.exe
SEX_HOTorCOOL.exe
☆ 피해증상
o Windows 폴더에 다음과 같은 파일이 생성된다.
- SYSPOLY32.EXE 파일이 생성되는데 해당 파일은 아래 3개의 파일을 포함
MSWINSCK.OCX - 윈도우즈에서 일반적으로 사용하는 Socket 파일
ANACON.BAT - 웜을 실행시키기 위한 배치파일
NACO.EXE - 실제 웜 파일
o 다음과 같은 위치에 레지스트리 값이 추가된다.
※ Note: %Windows%는 디폴트가 C:Windows 또는 C:WINNT 폴더
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRun
Nocana = %System%wars.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRun
AHU = %SYSTEM%SYSPOLY32.EXE
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRunServices
InterceptedSystem = %System%SYSPOLY32.EXE
HKEY_USERS.DEFAULTSoftwareMicrosoftWindows
CurrentVersionRun
PowerManagement = %System%SYSPOLY32.EXE
o 백도어 역할을 하게 될 임의의 포트가 열림
- 5567 , 45567 , 36794 , 7676 , 2383 중 하나를 랜덤하게 선택
- 이 포트를 이용하여 키로그를 저장하거나, 화면에 문자를 출력하거나 프로세스의 중단, CD-ROM을 열고 닫기, 바탕화면 바꾸기.. 등등 원격에서 여러 가지 명령을 실행 시킬 수 있음.
o MS IIS가 설치되어 있는 경우
ANADEFACE.BAT 라는 배치파일 생성하고 다음과 같은 작업을 수행함.
- Inetpubwwwroot 디렉토리의 파일명을 rename 시켜버림.
default.asp -> ANA_Default.asp
index.htm -> ANA_Index.htm
default.htm -> ANA_Default.htm
index.html -> ANA_Index.html
default.html -> ANA_Default.html
index.asp -> ANA_Index.asp
- 원본 파일들에는 아래 메시지로 덮어 써버림.
I WARN TO YOU! DONT PLAY STUPID WITH ME! ANACON MELHACKER WILL SURVIVE!, Anacon, Melhacker, Dincracker, PakBrain, Foot-Art and AQTE
Anacon G0t ya! By Melhacker -dA r34L #4(k3R!
☆ 감염시 치료방법
o 백신프로그램을 최신버전으로 업데이트 한 다음 검사하여 치료한다.
o 백신으로 치료가 안될 경우 모든 작업관리자를 이용해 프로세스를 중단시키고 Windows폴더, System 폴더, Program 폴더에 생성된 파일을 삭제하고 추가된 레 지스트리 값을 삭제하거나 수정한다.
o 바뀐 파일명은 원래 이름으로 rename 시킨다.
☆ 예방법
메일에 첨부된 파일을 실행시키거나, 감염된 사용자의 PC에서 바이러스에 의해 생성된 파일을 다운로드받아 실행할 경우 감염된다. 첨부파일이 있는 메일은 함부로 열지 않도록 하고, 제목과 내용으로 본인에게 필요한 메일인지 확인하고 최신 버전의 백신으로 업데이트 하여 먼저 검사한 뒤 사용하도록 한다.
☆ 참조사이트
http://securityresponse.symantec.com/avcenter/venc/data/w32.naco.b@mm.htmlhttp://vil.mcafee.com/dispVirus.asp?virus_k=100331http://www.hauri.co.kr/virus/vir_read.html?code=IWW3000394http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?ame=WORM_NACO.B
