MTX 웜바이러스 분석 보고서

1day

| 2004·01·17 06:51 | HIT : 38,975 | VOTE : 12,544 |

MTX 웜바이러스 분석 보고서

전완근 연구원 wkjeon@certcc.or.kr

□ 개 요

악성프로그램(악성코드)이라고 하면 일반적으로 컴퓨터바이러스, 웜, 트로이목마을 일컬어 말한다. 악성프로그램으로 인한 파괴력측면에서 본다면 바이러스가 데이터 및 시스템 파괴하는 정도가 가장 크다. 전파속도면에서 보면 웜이 메일 등에 첨부되어 인터넷 환경의 개인이나 기업사용자들에게 전달이 되기 때문에 가장 빠르다. 또한 백도어와 같은 트로이목마를 보면 비밀채널을 이용하여 시스템에 숨어들어와서 사용자들이 모르게 사용자 혹은 시스템 정보를 유출하거나 원하지 않은 피해를 입힐 수가 있어 피해 형태을 예측하는 것이 거의 불가능하다.

현재 악성프로그램의 제작 추세를 보면 다양한 기능이 혼합된 형태 즉 파일을 감염시키는 등의 순수한 바이러스로서 기능을 하면서, 웜처럼 빨리 전파 되고 사용자 몰래 원하는 기능을 할 수 있는 바이러스들이 만들어지고 있는데 MTX 웜바이러스가 바로 웜과 바이러스, 백도어기능을 함께 가지는 실제 예이다.

□ 구 조

MTX 웜바이러스의 구조를 살펴보면 바이러스, 웜, 백도어로 3개의 콤퍼넌트로 구성되어있다. 웜부분과 백도어부분은 처음에는 압축된 형태로 있다가 시스템을 감염시킬 때 압축이 풀리면서 설치가 된 후 단독으로 활동을 하게 된다. 또한, 각각의 콤퍼넌트를 이루고 있는 부분에는 특징적인 문자열을 가지고 있다. Windows 95/98/ME/2000과 같은 Win32 시스템을 감염대상으로 하고 메일을 통하여 전파가 되는 특징을 가지고 있다.

Top

□ 콤퍼넌트의 기능

MTX웜바이러스의 구조에서 주요부분을 차지하고 있는 바이러스코드 부분은 Win32 실행화일을 감염시키며 웜부분에서는 전자우편을 통하여 보내지는 메시지에 감염된 첨부화일을 보내도록 하고, 설치된 백도어를 통하여 감염이 된 시스템에 플러그인을 다운로드받아 자체의 기능을 업그레이드하거나 시스템 정보를 외부로 유출한다.

■ 바이러스(Virus) 콤퍼넌트

보통 일반적인 바이러스의 경우에는 파일의 엔트리 코드 부분을 감염을 시키지만 MTX웜바이러스는 지능적으로 파일의 중간 부분에 "Jump-to-Virus" 명령어를 심어 놓고 실행하였을 경우에만 바이러스가 실행하도록 하는 EPO (Entry Point Obscuring)이라고 하는 암호화기법을 이용한다. 바이러스코드는 암호화가 되기 때문에 제어권을 바이러스 코드가 얻을 경우에는 제일 먼저 암호를 풀도록 되어있다.

그 다음에는 바이러스는 Win9x, WinNT, Win2000와 같은 Win32 Kernel을 스캐닝하여 현재디렉토리와 임시디렉토리(temporary), 윈도우(Windows)디렉토리에 있는 PE형태의 Win32 실행화일을 감염을 시킨다. 만약에 아래와 같은 백신 프로그램들이 실행 중에 있다며 바로 감염을 중단한다.

[그림2] 실행 중인 백신 프로그램 목록
AntiViral Toolkit Pro AVP Monitor Vsstat Webscanx Avconsol McAfee VirusScan Vshwin32 Central do McAfee VirusScan

바이러스는 자기자신의 웜과 백도어 콤퍼넌트를 시스템의 Windows디렉토리에 있는 파일로 숨김 속성으로 생성이 된다.

Top

※ 일반적으로 "C:WINDOWSSYSTEM" 윈도우즈의 시스템디렉토리에 생성됨.

[그림3] 윈도우즈에 설치되는 웜과 백도어프로그램
IE_PACK.EXE - 바이러스로부터 감염이 되지 않은 웜 코드 WIN32.DLL - 바이러스에 감염이 된 웜코드 MTX_.EXE - 백도어 코드

■ 웜(Worm) 콤퍼넌트

웜부분에서는 전자우편을 통하여 보내는 메시지에 감염된 첨부화일을 보내도록 한다. 원래의 WSOCK32.DLL파일을 복사하여 SOCK32.MTX라는 파일을 만들고 WSOCK32.MTX를 감염을 시켜서 WININIT.INI화일에 "replace original file with infected" 라는 명령어를 써서 감염된 파일을 가리켜 실행을 하도록 한다.

※ 다음 부팅때 감염된 파일로 전환됨

[표 1] 시스템 파일 변경
NUL=C:WINDOWSSYSTEMWSOCK32.DLL C:WINDOWSSYSTEMWSOCK32.DLL=D:WINDOWSSYSTEMWSOCK32.MTX

또한, 웜은 사용자로부터 보내지는 전자우편메시지와 뿐만아니라 사용자가 방문하는 인터넷사이트인 Web, 혹은 Ftp 사이트에 주의를 기울여서 자신이 가지고 있는 백신도메인이나 인터넷사이트 목록과 비교하여 자신이 메시지를 보낼지 않을 지를 판단하게 된다.

nii. nai. avp. f-se mapl pand soph ndmi afee yenn lywa tbav yman

[표 2] 인터넷 사이트

wildlist.o* il.esafe.c* perfectsup* complex.is* HiServ.com* hiserv.com*
metro.ch* beyond.com* mcafee.com* pandasoftw* earthlink.* inexar.com* comkom.co.* meditrade.* mabex.com * cellco.com* symantec.c* successful* inforamp.n* newell.com* singnet.co* bmcd.com.a* bca.com.nz* trendmicro* sophos.com* maple.com.* netsales.n* f-secure.c*

[표 3] 백신업체 도메인

또한, 웜은 보내진 전자우편메시지를 가로채어 복사본을 감염된 첨부화일을 첨부하여 같은 주소로 보낸다. 결과적으로 피해자의 주소로 두 번의 메시지를 받게 되는데, 첫 번째는 원래의 사용자가 보낸 메시지와 두 번째로 받는 것은 제목과 내용이 없고 첨부 파일을 가진 메시지를 받게 된다. 이때 첨부되는 파일의 이름은 다음 이름들 중의 하나가 된다.

Top

README.TXT.pif I_wanna_see_YOU.TXT.pif MATRiX_Screen_Saver.SCR
LOVE_LETTER_FOR_YOU.TXT.pif NEW_playboy_Screen_saver.SCR
BILL_GATES_PIECE.JPG.pif TIAZINHA.JPG.pif FEITICEIRA_NUA.JPG.pif
Geocities_Free_sites.TXT.pif NEW_NAPSTER_site.TXT.pif METALLICA_SONG.MP3.pif
ANTI_CIH.EXE INTERNET_SECURITY_FORUM.DOC.pif ALANIS_Screen_Saver.SCR
READER_DIGEST_LETTER.TXT.pif WIN_$100_NOW.DOC.pif IS_LINUX_GOOD_ENOUGH!.TXT.pif QI_TEST.EXE AVP_Updates.EXE SEICHO-NO-IE.EXE YOU_are_FAT!.TXT.pif FREE_xxx_sites.TXT.pif I_am_sorry.DOC.pif Me_nude.AVI.pif Sorry_about_yesterday.DOC.pif
Protect_your_credit.HTML.pif JIMI_HMNDRIX.MP3.pif HANSON.SCR FUCKING_WITH_DOGS.SCR MATRiX_2_is_OUT.SCR zipped_files.EXE BLINK_182.MP3.pif

[표 4 ] 첨부 파일명 목록

웜은 MTX가 감염된 시스템에 처음에 인스톨 될 때 바이러스 부분에 의해서 감염된 WIN32.DLL 화일을 내보낸다. 따라서 원래의 웜은 WSOCK32.DLL화일를 감염시킬때 한번만 사용되며 더 이상의 복사본을 사용할 수가 없어 웜은 감염이 된 WIN32.DLL 복사본을 만들어 보낸다.

■ 백도어(Backdoor) 콤퍼넌트

백도어 콤퍼넌트가 설치되려면 시스템키가 생성된후에 감염된 시스템을 가르키도록 레지스트리를 변경하여야 하는데 만약에 키가 이미 존재한다면 백도어는 설치과정을 스킵하고 자기자신을 자동실행부분에 등록을 시키게 된다.

HKLMSoftware[MATRIX]
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
SystemBackup=%WinDir%MTX_.EXE [ %WinDir% 윈도우 디렉토리]

이렇게 등록된 백도어가 실행되면 특정 인터넷 서버로 연결을 하며, 필요한 파일을 다운 로드받게 된다. 이 과정에서 백도어는 다른 바이러스로부터 시스템을 재감염이 될 수 있으며 다른 트로이목마 프로그램을 설치하거나 다른 많은 기능을 설치하여 실행이 될 수 있다.

□ 결 론

현대의 컴퓨터바이러스 제작자들의 제작 및 유포동기는 더 이상 단순한 개인만의 호기심 충족이나 실력과시등이 아님을 감안할 때, 그로 인한 피해가 개인의 정보침해뿐만 아니라 기업의 비밀정보유출, 나아가 국가의 안보에 까지 위협을 줄 수가 있어 이에 대한 철저한 대비를 해야 할 것이다. 그리고, 앞으로도 MTX웜바이러스와 같이 웜과 바이러스, 트로이목마기능이 혼합이 되어 있는 복합 다양한 형태의 지능형 바이러스가 많이 출현할 것으로 예상이 된다.

□ 참고문헌

[1] Eugene Kaspersky, KL; Alexey Podrezov; F-Secure; September 2000
[2] http://www.europe.f-secure.com/v-descs/mtx.htm
[3] http://www.hauri.co.kr/virus/vir_info_sum.html?uid=59
[4] http://vil.nai.com/villib/dispVirus.asp?virus_k=98797
[5] http://www.trendmicro.co.kr/virus_info.htm
[6] http://home.ahnlab.com/
[7] http://www.symantec.com/

Top

출처 : cert


15	MySQL 에러코드별 에러메세지 입니다.	1day	05·08·16	474176
14	인터넷의 뿌리 TCP/IP 네트워크 바로알기	1day	04·02·12	38400
13	레드햇 시스템 최신으로 유지하기	1day	04·02·03	36409
12	Sendmail 메일서버의 스팸릴레이 대응방법	1day	04·02·01	40809
11	침해사고 대응방법 및 절차	1day	04·02·01	37396
10	네트워크 스니핑 기술 및 방지대책	1day	04·02·01	46181
9	윈도우 NT서버 및 IIS 보안 관리	1day	04·02·01	47103
8	Solaris Network Kernel Tunning for Security	1day	04·01·31	40999
7	안전한 유닉스 프로그래밍을 위한 지침서 V.0.7	1day	04·01·30	40218
6	Abnormal IP Packets	1day	04·01·28	42405
5	DNS 안전운용가이드	1day	04·01·20	53822
	MTX 웜바이러스 분석 보고서	1day	04·01·17	38975
3	IP Fragmentation을 이용한 공격기술들	1day	04·01·14	40195
2	리눅스 시스템 관리자를 위한 보안 지침Ⅰ	1day	04·01·14	39376
1	운영체제와 커널 차원에서의 튜닝 및 보..	1day	04·01·11	37023