다시 각종 웜이 출현하는가 봅니다.
변종이 계속해서 출현하는군요.한동안 웜의 영향이 적었는데, 다시 활동을 시작했나 봅니다.
이메일 오픈시 주의 해야 할듯합니다.
마치 패치인듯 가정을 하는 식의 이메일을 오픈하실때는 한번 더 확인을 해보시길 바랍니다.
아웃룩이나 아웃룩 익스프레스의 경우 자동 실행의 경우에는 보안 패치를 통하여 방지하실 수 있습니다.
스톰웜, 웜의 패치를 가장한 변종 재출현
( CNET News.com )
스톰웜(Storm Worm: 별명 스노웜(Snow Worm))의 새로운 변종이 최근 웜에 대한 패치를 가장하면서 전세계적으로 퍼져나가고 있다.
이 새로운 변종은 12일(미국시간) 최초 보고가 있었으며 트렌드 마이크로(Trend Micro)가 Nuwar.AOP라고 부르는 웜을 이용하고 있는 것으로 생각된다.
이 웜의 트로이의 목마 부분은 카스퍼스키(Kaspersky) 및 트렌드 마이크로에서는 스몰(Small), 맥아피에서는 다운로더(Downloader), 시만텍에서는 피콤(Peacomm), 커먼 말웨어 이뉴머레이션(Common Malware Enumeration)에서는 CME-711으로 부른다.
아이디펜스(iDefense)의 켄 던햄(Ken Dunham) 씨에 의하면 이 새로운 변종은 보안 관련 분석을 방해하고 바이러스 검출을 피하기 위해 패스워드로 보호된 압축파일 내에 자신을 복제해 송신한다. 또 검출 방지방법으로서 전자 메일은 다른 파일명, 패스워드, 압축파일 내의 바이너리로 랜덤화된다는 것이다.
정보에 따르면 해당 이메일에는 아래 문자열이 포함되는 것으로 알려졌다.
Worm Alert!(웜 경보!)
Worm Detected(웜 발견)
Virus Alert(바이러스 경보)
ATTN!(주목!)
Trojan Detected!(트로이의 목마 발견)
Worm Activity Detected!(웜의 활동 발견!)
Spyware Detected!(스파이 웨어 발견!)
Virus Activity Detected!(바이러스의 활동 발견!)
또 SANS 인터넷 스톰 센터에 따르면 압축파일명에는 다음의 종류가 있다.
patch-(랜덤인 4~5자리수의 숫자).zip
bugfix-(랜덤인 4~5자리수의 숫자).zip
hotfix-(랜덤인 4~5자리수의 숫자).zip
removal-(랜덤인 4~5자리수의 숫자).zip
이 새로운 변종이 일단 실행되면, 감염 시스템상에는 루트킷이 설치되고 프라이빗 PtoP 네트워크상에서 교신을 시작해 자신을 업데이트 한다. 이 변종은 감염 머신으로부터 장래의 버전을 송신하는 공격의 기초가 될 수도 있다.
이 변종은 MS 윈도우를 가동하는 PC를 표적으로 한다. 전자메일의 첨부 파일은 반드시 바이러스 스캔을 실행하고 나서 열기 바란다.
