해외 시각 2009년 11월 25일 새벽 무렵 미국 보안 업체인 썬벨트(Sunbelt)외국 언론을 통해 중국 내에서 Piloyd 웜이 급속하게 확신 중이라는 소식이 전해 졌다.

해당 웜은 9월 말 경부터 발견되기 시작한 것으로 ASEC에서는 파악하고 있으며 해당 웜(Worm)은 다음 경로를 통해 네트워크에 인접한 컴퓨터 시스템으로 감염을 시도한다.

1. 관리목적 공유 폴더
ADMIN$, C$, D$과 IPC$의 관리 목적 공유 폴더에 자신의 복사본 생성을 시도한다.

2. 취약한 사용자 계정 암호에 대한 사전 대입
사용자 계정에 설정되어 있는 취약한 암호에 대해 사전 대입 기법을 통해 사용자 계정의 권한을 획득 한 후 컴퓨터 시스템 설정되어 있는 공유 폴더에 악성코드의 복사본 생성을 시도한다.

해당 웜에 감염되면 윈도우 시스템 폴더(c:\windows\system32)에 존재하는 정상 qmgr.dll(382,464 바이트)를 웜에 의해 생성되는 악의적인 코드로 덮어 쓰게 된다.

그리고 사용자 계정의 임시 폴더인 temp 폴더에 임의의 파일명인 bat  파일을 생성해 웜의 복사본을 lsasvc.dll 파일명으로 윈도우 시스템 폴더(c:\windows\system32)의 하위에 존재하는 dllcache 폴더에 복사를 시도한다.

또 윈도우 레지스트리의 "Image File Execution Options"에 특정 키를 생성하여 특정 프로세스가 실행될 때 자동 실행되도록 하며 윈도우 시스템의 안전모드(SafeBoot) 관련 레지스트리 키들을 모두 삭제하여 감염된 시스템이 안전 모드 부팅하지 못하도록 한다.

그리고 인터넷 익스플로러(iexplorer.exe)를 백그라운드(Backgroud)로 실행하여 외부의 특정 시스템들로부터 다수의 온라인 게임 사용자 정보를 유출하는 트로이목마를 다운로드하여 실행하게 된다.

해당 웜과 변형들은 V3 제품군에 다음과 같이 진단하고 있으나 다수의 변형들이 더 존재할 것으로 예측된다.

Win32/Piloyd.worm.43520
Win32/Piloyd.worm.43520.B
Dropper/Malware.26112.E

이러한 네트워크를 통해 감염되는 악성코드인 웜의 감염을 예방하기 위해서는  아래 사항들을 숙지해서 적용하기 바란다.

1. 사용하는 윈도우 시스템의 사용자 계정 암호를 영어 알파벳과 숫자 그리고 특수문자(!, @, #, $과 % 등)를 사용하여 7자리 이상 적용하도록 한다.

2.
 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오프스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.

3. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반드시 설치한다.

4. 웹 브라우저를 통해서 유포되는 악성코드의 감염을 예방하기 위해 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.

5. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.

6. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.

7. 전자 메일에 존재하는  의심스런 웹 사이트 링크는 클릭하지 않는다.
저작자 표시 비영리 변경 금지
신고
Posted by AhnLab_ASEC