새로운 웜 등장

□ 개요

o zotob 웜은 윈도우즈 시스템의 최신 보안취약점인 “플러그 앤 플레이의 취약점(MS05-039)”을 이용하여
전파되는 웜으로 국내에 유입 시 피해발생이 예상되오니 주의하시기 바랍니다.
※ 플러그 앤 플레이(PnP) : 시스템에 새 하드웨어를 연결할 때 운영 체제가 이를 자동으로 발견하여 필요한
드라이버를 로드하며 설치하는 기능. 예를 들어, 시스템에 새 마우스를 연결하면 윈도우즈는 플러그 앤 플레이
기능을 이용하여 이를 발견하고 필요한 드라이버를 설치하여 새 마우스를 사용할 수 있도록 합니다.

o zotob 웜의 일부 변종은 이메일을 통해 전파되므로 메일 열람 시 주의하시기 바랍니다.

□ 전파방법

o 윈도우즈 시스템의 “플러그 앤 플레이의 취약점(MS05-039)” 취약점을 패치하지 않은 시스템을 공격하여 전파

o zotob 웜의 일부 변종은 자체 SMTP 엔진을 이용하여 “Warning!!”, “**Warning**”, “Hello”, “Confirmed…”,
“Important!” 등의 제목을 갖는 이메일을 발송하여 전파

□ 해당 시스템

o “플러그 앤 플레이의 취약점(MS05-039)” 취약점을 패치하지 않은 윈도우즈 2000 시스템

o 이메일로 전파되는 일부 변종은 대부분의 윈도우즈 시스템(윈도우즈 2000, NT, XP 등)이 해당됨

□ 피해 증상

o 윈도우즈 “시스템폴더”에 아래의 파일을 복사
– botzor.exe (변종B:csm.exe ), HAHA.EXE, 2pac.txt
※ 시스템 폴더 윈도우 95/98/ME : C:\Windows\System
윈도우 NT/2000 : C:\WinNT\System32
윈도우 XP : C:\Windows\System32

o 레지스트리 변경 및 추가(윈도우 재시작시 자동실행 설정)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
WINDOWS SYSTEM = “botzor.exe”(변종B:csm.exe)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunServices
WINDOWS SYSTEM = “botzor.exe”(변종B:csm.exe)

o 윈도우즈 방화벽 기능을 중지시킨다.

o 특정 IRC서버에 TCP/8080포트를 통해 접속되고 감염시스템에 Tcp/8888포트가 열려
파일 실행 및 삭제, 메일발송 등의 악의적인 기능이 수행될 수 있음

o 웜 원본 파일 전파를 위한 ftp서비스(tcp/33333포트)를 오픈하고,
타 시스템의 공격에 성공하면 웜 원본파일이 이 서비스를 통해 발송된다.

o 바이러스 백신 사이트 접속 차단을 위해 시스템폴더\drivers\etc\hosts 파일 변조
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
…

o 일부 변종은 자체 SMTP 엔진을 사용하여 웜 전파를 위한 대량 메일을 발송한다.

□ 예방 및 대응 방안
o 네트워크 관리자
– 바이러스 월의 패턴이 최신으로 업데이트 되었는지 확인한다
– diabl0.turkcoders.net(wait.atillaekici.net) 도메인 쿼리 트래픽을 차단하도록 한다

o 사용자
– 최신으로 윈도우즈를 패치한다.
– 출처가 불분명한 메일이나 웜 전파 메일로 의심되는 메일은 읽지 않는다.
– 백신 사용자는 최신 패턴 업데이트 후 검사 및 치료 한다

□ 참조Site
o http://www.krcert.or.kr/intro/notice_read.jsp?NUM=87&menu=1
o http://www.microsoft.com/technet/security/Bulletin/MS05-039.mspx
o http://securityresponse.symantec.com/avcenter/venc/data/w32.zotob.a.html
o http://securityresponse.symantec.com/avcenter/venc/data/w32.zotob.b.html
o Zotob.A 웜 분석 보고서

==============================================================

※ W32.Zotob에 대한 대응 방법

1. W32.Zotob의 특징은 무엇인가?
A) W32.Zotob웜은 최신의 취약점으로(MS05-039)으로 전파되는 웜이다.
감염 시 시스템 폴더에 웜 파일 복사 및 레지스트리가 추가되며,
감염 후 주요 백신사이트(국외)에 접속할수 없으며,
감염후 tcp/8080포트를 통해 임의의 IRC 서버로 접속을 시도하며,
웜 원본 파일 전파를 위한 ftp서비스(tcp/33333포트)를 오픈한다.

B) 일부 변종은 “Warning!!”, “**Warning**”, “Hello”, “Confirmed…”, “Important!” 등의
메일 제목으로 전파된다.

2. 감염 예방 방법은 무엇인가?
A) 위에서 언급된 취약점(MS05-039)을 패치한다.
패치사이트 : http://update.microsoft.com

B) 출처가 불분명한 메일이나 웜 전파 메일로 의심되는 메일은 읽지 않는다.

3. 제 컴퓨터가 감염이 되었는지 확인할 수 있는 방법은 무엇인가?
A) 시스템 폴더에 botzor.exe, csm.exe, HAHA.EXE, 2pac.txt 파일이 존재하는지 확인하여,
해당 파일이 존재한다면 감염된 것으로 보아야 한다.
※ 시스템 폴더 윈도우 95/98/ME : C:\Windows\System
윈도우 NT/2000 : C:\WinNT\System32
윈도우 XP : C:\Windows\System32

4. 감염 후, 백신이 없는 경우 수동 해결 방법은 무엇인가?
A) ① 안전모드로 부팅
② 웜이 생성한 레지스트리 삭제
– 레지스트리 위치
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
WINDOWS SYSTEM = “botzor.exe”(변종B:csm.exe)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunServices
WINDOWS SYSTEM = “botzor.exe”(변종B:csm.exe)

③ 웜 파일 삭제
– 위치 : 시스템 폴더
– 파일명: botzor.exe(csm.exe), HAHA.EXE
④ 변조된 hosts 파일 복구
시스템폴더\drivers\etc\hosts 파일을 텍스트 에디터로 오픈하여
loopback(127.0.0.1)으로 설정되어 있는 도메인 중 localhost를 제외한 나머지 도메인들을
제거하고 저장한다.
⑤ 재 부팅

5. 기타 문의사항
한국정보보호진흥원 인터넷침해사고대응지원센터 : “02-118 “ 또는 백신 소프트웨어 제조사