본문바로가기 18.118.253.124
모바일 메뉴 닫기
상단배경사진

DCU광장

Community

메인으로

바이러스/보안게시판

[웜 바이러스경보] Win32/Munu
작성일 : 2003/06/30 작성자 : 전산정보팀 조회수 : 10428

Win32/Munu.B 웜 바이러스에 대한 경보가 발령되었습니다.
윈도우즈의 관리목적 공유폴더를 통하여 전파되는 바이러스로
키보드에서 입력되는 모든 내용이 노출될 수 있음으로 주의 하시기 바랍니다.
 
V3사용자께서는 백신을 최신(6월 27일 이후버젼)으로 업데이트하시고, 실시간 감시를
켜놓고 사용하시기 바랍니다.
-----------------------[ 웜 경보 내용 ]---------------------------
안녕하십니까?
한국정보보호진흥원의 CERTCC-KR 입니다.
W32.Mumu.B 웜 바이러스 예보 (웜)바이러스 주의예보를발령합니다.
------------------------------------------
[바이러스 주의예보VN2003296]
☆ 개요
이 웜 바이러스는 중국에서 제작된 것으로 추정되며, 6월 27일 국내 유입 확인되었다. 윈도우 2000 / XP의 관리목적공유(IPC$)폴더를 통하여 전파되며, 키로깅 프로그램이 설치되어 사용자의 키보드 입력내용이 노출될 수 있으므로 윈도우즈 사용자들의 주의가 요구된다.

☆ 전파방법
윈도우 2000 / XP의 관리목적공유(IPC$)폴더를 통해 전파된다.
실행이 되면 랜덤한 IP 대역을 선정후 해당 IP 대역에 대하여 IPC$ 공유된 시스템을 찾고, 다음 리스트의 패스워드를 대입하여 연결을 시도한다.
<패스워드가 설정되지 않은 경우>
123
1234
12345
123456
1234567
12345678
654321
54321
1
111
11111
!@#$
!@#$%
!@#$%^
!@#$%^&
!@#$%^&*
!@#$%^&*(
!@#$%^&*()
KKKKKKK
※이외에도 유추하기 쉬운 패스워드를 사용하는 것은 보안상 매우 취약하므로, 패스워드를 자신만 아는 고유한 패스워드로 길고 복잡하게 설정하는 것이 안전하다.

☆ 피해증상
o 웜은 감염대상이 발견되면 윈도우 시스템 폴더에 (일반적으로 C:WinNTSystem32,
C:WindowsSystem32 ) 자신을 복사하고 감염된 시스템에서 원격에서 파일을 실행할 수 있는 유틸리티를 이용하여 웜의 본체인 mumu.exe (294,912 바이트)를 실행한다. 실행되면 윈도우 폴더(일반적으로 C:Windows, C:WinNT)와 윈도우 시스템 폴더에 다음 파일들이 존재한다.
· C:윈도우 폴더 boy.exe (20,480 바이트) -> 키로거 본체
· C:윈도우 시스템 폴더 boy.dll (36,864 바이트) -> 키로거 모듈
· C:윈도우 시스템 폴더IPCPass.txt (510 바이트) -> 암호 리스트
· C:윈도우 시스템 폴더kavfind.exe (30,208 바이트)
-> 임의의 IP 대역에 대하여 IPC$ 공유된 시스템을 찾아주는 유틸리티
· C:윈도우 시스템 폴더last.exe (20,480 바이트) -> 키로거 본체
· C:윈도우 시스템 폴더mumu.exe (294,912 바이트) -> 웜 본체
· C:윈도우 시스템 폴더psexec.exe (36,352 바이트)
-> 원격에서 파일을 실행해주는 유틸리티
o 다음의 레지스트리 값을 추가하여 부팅시마다 실행되도록 한다.
·HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
Folder Service = qjinfo.exe
·HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
Kernel=C:윈도우 폴더 boy.exe
o 웜은 하드코딩된 SMTP 주소를 이용하여 특정 사용자에게 메일을 발송하는 값을 가지고 있다.
o 웜은 다음과 같은 Mutex(두번이상의 실행을 막는 방법)를 생성하여 웜이 메모리(프로세스)에서 중복 실행되는 것을 막는다.
- qjinfo1mutex
- qjinfo2mutex

☆ 감염시 치료방법
o 백신프로그램을 최신버전으로 업데이트 한 다음 검사하여 치료한다.
o 재감염을 막기 위해서는 반드시 관리자 계정(Administrator)의 패스워드를 자신만 알고있는 길고 복잡한 패스워드로 변경한다.

☆ 예방법
관리목적공유폴더(IPC$)가 존재하는 경우 무조건 전파되는 것은 아니라 패스워드가 설정되어 있지 않거나, 설정되어 있어도 짧고 쉬운 패스워드로 설정되어 있는 경우, 몇 개의 패스워드를 대입하여 해당 시스템에 접속을 시도한다. 따라서 웜에 감염되지 않도록 관리자 계정(Administrator)의 패스워드를 자신만이 아는 고유한 패스워드로 길고 복잡하게 설정해야 한다.

☆ 참조사이트

-----------------------[ 웜 경보 내용 ]---------------------------
댓글 작성
최상단 이동 버튼