IT이야기2009. 11. 23. 19:19
11월 초에 Ikee worm이름의 아이폰 웜(iPhone Worm)이 최초로 발견되었다. 그리고, F-Secure의 'Malicious iPhone worm' 글에 따르면 또 다른 아이폰 웜이 발견되었다.

아이폰 보호 기능을 해제하고, default 비밀번호를 변경하지 않은 경우에 감염이 된다.

이 웜은 리투아니아에 있는 웹기반 C&C(command & control center) 서버에 접속한다. 그리고, 이 때 아이폰의 시스템 정보(uname)와 SQLite 정보(SQLITE 환경변수), IP정보(ifconfig) 등을 저 서버에 넘겨주게 되어 있다. F-Secure에 따르면 아직 웜이 확산되지는 않았지만 위와 같은 정보들을 빼내가기 때문에 Ikee worm보다는 더 심각한 웜으로 보고 있다.

저 리투아니아에 있는 C&C 서버에 /xml/a.php?name= 값으로 접속하면, 404 not found 페이지를 보여준다. a.php 페이지가 이제 지워졌으니 문제없겠구나 생각할 것 수 있을 것 같다. 그러나 실제 지워지지 않았다. 마치 파일이 없는 것처럼 눈속임 화면을 뿌려준 것이다. 실제로는 200 OK.

iphone worm C&C서버

[ 404 페이지인 것처럼 속이고 있다. ]


HTTP/1.1 200 OK
Date: Mon, 23 Nov 2009 09:47:26 GMT
Server: Apache/2.2.3 (Debian) PHP/5.2.0-8+etch15
X-Powered-By: PHP/5.2.0-8+etch15
Content-Length: 228
Connection: close
Content-Type: text/html; charset=UTF-8

<HTML><HEAD>
<TITLE>404 Not Found</TITLE>
</HEAD><BODY>
<H1>Not Found</H1>
The requested URL /xml/a.php?name=.... was not found on this server.<P>
<HR>
<ADDRESS>Apache/1.3.34 Server at 92.61.38.16 Port 80</ADDRESS>
</BODY></HTML>Connection closed by foreign host.


그리고,  http://www.malwaredomainlist.com/mdl.php 에서 목록을 보면 /xml/p.php 페이지도 아이폰 웜이 호출하는 페이지로 되어 있다. 마찬가지로 404 페이지인 것 처럼 눈속임을 하고 있다.

먹을 것이 많아지니 벌레가 들끓는다.


최초 웜에 대한 것은 다음 글을 참고하기 바란다.

Posted by 좋은진호
IT이야기2008. 7. 10. 10:14
어제 밤 9시 49분쯤에 퇴사하신 분이 메신저로 쪽지를 보내셨다.
저 뿐만 아니고, 대략 20여명에게 한꺼번에 보내졌는데, 퇴사하진지 몇달이 되었는데 '우리집에 애완견인데 이뻐요 http://../?....jpg' 라는 내용으로 보내는 것이 이상했다. 그래서 쪽지내 링크된 URL을 자세히 들여다 보니~아~ 이건 이미지파일을 요청한 것이 아니고, index 파일을 호출한 것이다. 눈속임이 교묘하다.

사용자 삽입 이미지

http://웹주소/image/main/?79202257.jpg  은
http://웹주소/image/main/index.asp?79202257.jpg 처럼 index 파일명(웹서버 설정에 따라 index 파일명은 다양하게 지정 가능)을 생략한채로 query를 요청한 것이다. 즉, ? 뒤에 파일명은 아무 의미없이 눈속임을 위한 것.

저 URL로 요청을 하면 아래 처럼 exe파일을 받게된다. 다운 받아 실행하는 일은 없도록... ^^

HTTP/1.1 302 Object moved
Server: Microsoft-IIS/5.0
Date: Thu, 10 Jul 2008 01:00:33 GMT
Location: modue.exe  <-- 다운 받을 수 있는 URL로 이동한다.
Connection: Keep-Alive
Content-Length: 136
Content-Type: text/html
Set-Cookie: ASPSESSIONIDCSCTCQAQ=LGOBFMJCAKHDMADLKIACDBEM; path=/
Cache-control: private

저런 쪽지를 보내신 분은 웜에 감염됐거나 개인정보가 도용됐을 가능성이 있다. 그리고 저 URL에 해당하는 서버 또한 해킹을 당했다는 것으로 보면 될 것이다.


[ 관련정보 ]
* Win32.Dropper.Games (메신저를 통해 악성코드전파)
* Dropper.PSWIGames.159222 (확산방법 : 메신저, 발견일 : 2008/07/06)
 
Posted by 좋은진호
IT이야기2007. 8. 1. 18:36
* 분석 기간 : 2007.6.03(일) 04:00 ~ 7.01(일) 04:00 (4주, 28일간)
* 분석 방법 : - 메일로그를 활용
              - ClamAV 안티바이러스툴을 이용하여 메일이 필터링된 기준
               (따라서 필터링안된 웜메일은 분석자료에 포함하지 않음)
* 웜메일 건수 : 35,512건 (1일 평균 1,268건)

지난달과는 달이 이번달은 4주간의 웜·바이러스 메일 건수를 분석했다. 1일 평균 1,268건은 5월의 1일 평균 3,293건과 4월의 1,548건, 3월의 1,785건 등에 비해서 상당히 건수가 감소한 것으로 5월과 비교하면 무려 62%나 감소한 것이다. 주 원인은 지난달에 비정상적(?)으로 늘어난 Bagz웜(지난달에 77.13% 차지)이 여전히 1위이기는 하지만 비율이 42.43%로 감소했기 때문이다. 뒤를 이어 Bagle웜이 37.93%, SomeFool웜이 6.30%, Mytob웜이 4.36% 순이다. 그 외의 특징은 Email.Phishing과 HTML.Phishing이 증가했다는 것.

자세한 것은 웜메일 건수와 주요 웜별 건수 분석 (2007년 6월) 을 살펴보기 바란다.

사용자 삽입 이미지

사용자 삽입 이미지

Posted by 좋은진호
IT이야기2007. 6. 16. 02:46
* 분석 기간 : 2007.5.18(금) 04:00 ~ 5.28(월) 04:00 (10일간)
* 분석 방법 : - 메일로그를 활용
              - ClamAV 안티바이러스툴을 이용하여 메일이 필터링된 기준
               (따라서 필터링안된 웜메일은 분석자료에 포함하지 않음)
* 웜메일 건수 : 32,395건 (1일 평균 3,239건)

이번달은 로그를 따로 보관하지 않아 메일로그 기간이 지난달보다 며칠 늦었다. 앞으로는 해당월의 2주간 또는 4주간을 분석하고, 더 나아가 해당월 전체 메일을 통해 분석 결과를 담워볼 생각이다.
5월의 웜·바이러스 메일 건수는 지난달의 15,477건에 비해 무려 109%가 증가했다. 이런 증가의 원인은 24,987건으로 77.13% 차지한 Bagz웜이다. 그 뒤에 14.21%의 Bagle웜이고, 이 둘이 90%이상 독식하고 있다. 이 숫자는 한국의 검색시장의 비율을 보는 것 같다. (참고 : http://pds4.egloos.com/pds/200706/11/30/a0000030_02065174.jpg ). 그 뒤로 SomeFool, Mytob 등으로 순위는 지난달과 같다.

자세한 것은 웜메일 건수와 주요 웜별 건수 분석 (2007년 5월) 을 살펴보기 바란다.

사용자 삽입 이미지

사용자 삽입 이미지

Posted by 좋은진호
시스템이야기2007. 4. 24. 22:49
* 분석 기간 : 2007.4.14(토) 04:00 ~ 4.24(화) 04:00 (10일간)
* 분석 방법 : - 메일로그를 활용
              - ClamAV 안티바이러스툴을 이용하여 메일이 필터링된 기준
               (따라서 필터링안된 웜메일은 분석자료에 포함하지 않음)
* 웜메일 건수 : 15,477건 (1일 평균 1,548건)

올해들어 4번째 분석결과이다. 연말까지 꾸준히 분석할 수 있기를 바라며 또 한번 분석해보자.
4월의 웜·바이러스 메일 건수는 지난달의 17,854건에 비해 약 14%가 감소했다.
웜별로는 Bagz웜, Bagle웜의 강세는 여전하다. Bagz웜은 지난달 23.95%에서 4월에 무려 49.82%로 사과의 반토막을 혼자 잘라 먹어버렸다. Bagle웜은 지난달 34.83%에서 34.89%로 비슷한 수준으로 여전히 강자의 자리를 차지하고 있다. 그 뒤로 SomeFool웜이 6.46%, Mytob웜이 3.53%를 차지한다.

자세한 것은 웜메일 건수와 주요 웜별 건수 분석 (2007년 4월) 을 살펴보기 바란다.

사용자 삽입 이미지

사용자 삽입 이미지

Posted by 좋은진호
시스템이야기2007. 3. 26. 12:21
지난 2월 분석결과에 이어 3월의 10일간 로그를 분석했다.
 
* 분석 기간 : 2007.3.14(수) 04:00 ~ 3.24(토) 04:00 (10일간)
* 분석 방법 : - 메일로그를 활용
              - ClamAV 안티바이러스툴을 이용하여 메일이 필터링된 기준
               (따라서 필터링안된 웜메일은 분석자료에 포함하지 않음)
* 웜메일 건수 : 17,854건 (1일 평균 1,785건)
 
2월에는 Bagle웜이 40.28%, Bagz웜이 35.01%, SomeFool웜이 7.08%로 Bagz웜의 활약(?)이 돋보였으며, 이번달에는 Bagle웜이 34.83%, Bagz웜이 23.95%로 여전히 꾸준한 모습이고 Virut.A가 21.51%로 눈에 띄는 증가를 보였다. 시간대별로는 오후 4시 이후부터 매시간 5%이상의 비율을 차지했으며, 특히 11시대에는 무려 8.17%나 됐다. 연속 3달간의 통계를 살펴보니 흥미롭게도 1월 10일간 건 18,719건, 2월 10일간 18,396건, 그리고 이번달에 17,854건 등 건수 변화가 많지 않고 꾸준히 웜·바이러스 메일을 들어오고 있음을 확인할 수 있다. 영화 '누가 그녀와 잤을까'에서 '6.25가 왜 일어났는지 아세요? 방심해서요.'라는 대화가 생각난다. 웜·바이러스가 꾸준히 활동하고 있으니 늘 조심하라.
 
자세한 것은 웜메일 건수와 주요 웜별 건수 분석 (2007년 3월) 을 살펴보기 바란다.

사용자 삽입 이미지

사용자 삽입 이미지

Posted by 좋은진호
시스템이야기2007. 3. 2. 16:06
1년전부터 메일로그를 통해 웜·바이러스메일(이하 웜메일로 표기)의 건수와 비율을 분석해왔다.
본인의 서버는 어떤 비율의 웜메일이 들어오는지 궁금한가? 우선 메일서버에 ClamAV를 설치하고, maillog를 남겨라. 그 maillog를 분석하면 된다. 분석하기가 어렵다? 저에게 얘기하면 간단한 쉘 스크립트를 제공하겠다. 단, 반드시 분석결과를 공개해야 한다. ^^*

* 분석 기간 : 2007.2.16(금) 04:00 ~ 2.26(월) 04:00 (10일간), 설연휴 포함
* 분석 방법 : - 메일로그를 활용
              - ClamAV 안티바이러스툴을 이용하여 메일이 필터링된 기준
               (따라서 필터링안된 웜메일은 분석자료에 포함하지 않음)
* 웜메일 건수 : 18,396건 (1일 평균 1,839건)

1월에는 Bagle웜이 50.27%, W32.Virut.A가 12.10%, Bagz웜이 11.32%를 차지했다. 이번에는 Bagle웜이 40.28%, Bagz웜이 35.01%, SomeFool웜이 7.08%로 Bagz웜의 활약(?)이 돋보인다.
KRCERT( http://www.krcert.or.kr/ ) 에서 발표한 '2007년 01월 해킹 바이러스 통계 및 분석 월보'의 '주요 웜·바이러스별 신고현황'에서도 1위가 Bagle, 2위가 Bagz이었다.
시간대별로는 1월에는 출근시간 이후인 오전 8~10시 사이의 비율이 높았으나, 이번에는 출근시간 이후에 밤시간대까지 4% 이상의 비슷한 비율을 유지했고, 20시대에만 7.84%의 높은 비율을 보였다.

자세한 것은 웜메일 건수와 주요 웜별 건수 분석 (2007년 2월) 을 살펴보기 바란다.
사용자 삽입 이미지

사용자 삽입 이미지

Posted by 좋은진호
시스템이야기2007. 2. 22. 23:04

* 분석 기간 : 2007.1.14(일) 04:00 ~ 1.24(수) 04:00 (10일간)
* 분석 방법 : - 메일로그를 활용
              - ClamAV 안티바이러스툴을 이용하여 메일이 필터링된 기준 (따라서 필터링안된 웜메일은 분석자료에 포함하지 않음)
* 웜메일 건수 : 18,719건 (1일 평균 1,872건)


작년 1월, 2월에는 SomeFool(Netsky웜)과 Mytob 웜이 50%이상, Exploit.HTML.IFrame 이 약 20%를 차지했으나, 이번 기간동안 웜별로는 Bagle웜이 50.27%, W32.Virut.A가 12.10%, Bagz웜이 11.32%를 차지했다. 시간대별로는 이전과 같이 출근시간 이후인 오전 8~10시 사이에 26.61%로 높은 비율을 차지했다.

자세한 것은 웜메일 건수와 주요 웜별 건수 분석 (2007년 1월) 을 살펴보기 바란다.
사용자 삽입 이미지

사용자 삽입 이미지

Posted by 좋은진호