Manual 목 ASEC Report 11월 ASEC Report 2004. 12 I. 11 월악성코드피해 Top 10 3 II. 11 월국내신종악성코드발견동향 8 III. 11 월신규보안취약점 13 IV. 11 월일본피해동향 16 V. 11 월중국피해동향 20 안철수연구소의시큐리티대응센터 (Ahnlab Security E-response Center) 는악성코 드및보안위협으로부터고객을안전하게지키기위하여바이러스와보안전문가 들로구성되어있는조직이다. 이리포트는 안철수연구소의 ASEC 에서국내인터넷보안과고객에게보다다 양한정보를제공하기위하여바이러스와시큐리티의종합된정보를매월요약하 여리포트형태로제공하고있다.
SUMMARY 취약점에대한패치가발표되기전에발견, 확산된보프라웜 11월에도지난달과마찬가지로 V3의진단기능이강화됨에따라악성코드의피해신고와신종발견건수가지난달에이어이번달에도감소추세를보였다. 특히피해신고된악성코드의수는올 1월이후최저치를나타내고있다. 11월에는인터넷익스플로러 6.0 SP1의 IFRAME SRC NAME 버퍼오버플로우취약점이발견되었다. 이취약점은발견된지 4일만에보프라웜의전파경로로사용되어전파되었고, 그후약 20일이후인 12월 1일에해당취약점에대한패치가발표되었다. 이처럼취약점발견후이취약점을이용한악성코드발견까지의시간이매우짧아지고있어해당취약점에대한예방책도없이피해가급속히확산될수있음을보여주는한예라할수있다. 11월에는보프라웜외에도심비안 OS에서실행되는스컬스가발견되었다. 스컬스의확산력이높지않고심비안 OS가한국에서는널리사용되지않기때문에아직까지는큰피해가없으나, 올해들어모바일용악성코드의발견이간혹되는것으로미루어, 앞으로는모바일악성코드의피해가확산될수있음을미루어짐작해볼수있다. 일본은여전히넷스카이웜이강세를보이며지난달과비슷한양상을보이고있다. 반면에중국은백쯔웜의피해가증가하여, 오랫동안강세를보여온넷스카이웜이나러브게이트웜의수준과비슷한피해를보였다. 또한트로이목마나백도어류의발견이많았던기존의추세에서벗어나 QQ 메신저관련트로이목마의변형과애드웨어류가수적으로크게증가한것이큰특징이라하겠다. Copyright AhnLab Inc,. All Rights Reserved. 2
I. 11월악성코드피해 Top 10 작성자 : 박태환연구원 (juun5@ahnlab.com) 순위 악성코드명 건수 % 1 - Win32/Netsky.worm.29568 494 18.9% 2 - Win32/Netsky.worm.17920 289 11.0% 3 - Win32/Bagle.worm.Z 174 6.6% 4 2 Win32/Netsky.worm.22016 148 5.6% 5 - Win32/Netsky.worm.17424 121 4.6% 6 1 Win32/Sasser.worm.15872 92 3.5% 7 2 Win32/LovGate.worm.128000 74 2.8% 8 New Win32/Bagle.worm.zip 72 2.7% 9 5 Win32/Netsky.worm.16896.B 72 2.7% 10 2 Win32/Netsky.worm.25352 71 2.7% 기타 1,013 38.7% 합계 2,620 100 [ 표1] 2004년 11월악성코드피해 Top 10 11 월악성코드피해동향바이러스, 웜, 트로이목마등의 11월악성코드피해건수는 9월 3,910건, 10월 3,199건으로점차감소하는추세를보이기시작하더니 11월 2,620 건으로, 역시감소추세를보였다. 피해집계및악성코드종류가계속감소한것은 V3엔진의악성아이알씨봇 (IRCBot) 류에대한진단 / 치료 ( 삭제 ) 기능이강화된것이주된이유로판단된다. 따라서이를전반적인악성코드의수가감소한것으로해석하는것에는무리가있다. 전반적인감소세에따라 11월악성코드피해 Top 10의순위에다소변화가있었다. 넷스카이웜, 베이글웜, 새서웜, 러브게이트웜변종들이항상수위를차지하고있는것을볼수있다. 11 월의악성코드피해 Top 10 을도표로나타내면 [ 그림 1] 과같다 Copyright AhnLab Inc,. All Rights Reserved. 3
악성코드 Top 10 38% 18% Win32/Netsky.worm.29568 Win32/Netsky.worm.17920 Win32/Bagle.worm.Z Win32/Netsky.worm.22016 10% Win32/Netsky.worm.17424 Win32/Sasser.worm.15872 7% Win32/LovGate.worm.128000 Win32/Bagle.worm.zip 3% 6% Win32/Netsky.worm.16896.B 3% 5% Win32/Netsky.worm.25352 3% 3% 4% 기타 [ 그림 1] 2004 년 11 월악성코드피해 Top 10 11 월악성코드 Top 10 전파방법별현황 [ 표1] 의 Top 10 악성코드들은주로어떠한감염경로를가지고있는지 [ 그림2] 에서확인할수있다. 10% 전파방법 메일 네트워크 ( 취약점 ) 90% [ 그림 2] 악성코드 Top 10 의전파방법별현황 Top 10 을차지하고있는악성코드의성격만으로볼때보안취약점을이용해네트워크로전 Copyright AhnLab Inc,. All Rights Reserved. 4
파되는새서웜이외에는모두메일로전파되는악성코드들인것을알수있다. 이것은피해 집계를통한 Top 10 일뿐이며메일로전파되는악성코드가네트워크의보안취약점을이용 한악성코드보다우위에있다고판단하여서는안되겠다. 월별피해신고악성코드건수현황 11월에피해신고된악성코드는 525개이다. 그래프상의수치로볼때올 1월의 432건이후가장적은신고건수임을 [ 그림3] 에서확인할수있다. 이같은감소추세는악성아이알씨봇에대한 V3엔진의진단 / 치료기능강화가가장큰영향을끼친것으로판단된다. 2004 년월단위악성코드건수 1000 900 800 700 600 500 400 300 200 100 0 917 918 943 915 800 758 686 659 654 525 432 1월 2월 3월 4월 5월 6월 7월 8월 9월 10월 11월 악성코드수 [ 그림 3] 2004 년월별피해신고악성코드수 주요악성코드현황 11월에피해가접수된악성코드중 3건이상의문의가들어온악성코드의종류는 [ 그림4] 와같다. Copyright AhnLab Inc,. All Rights Reserved. 5
3 건이상피해신고된악성코드종류별현황 12% 웜 22% 바이러스 트로이목마 66% [ 그림 4] 3 건이상피해신고된악성코드종류별현황 웜이 66%(39 개 ) 로가장많았으며바이러스 22%(13 개 ), 트로이목마 12%(7 개 ) 의순이다. 바 이러스나트로이목마의점유율이증가한것으로보이나이는전체적인피해신고건수가줄 어듬에따라나타난변화이다. 악성코드유형별현황은 [ 그림 5] 와같다. 26% 2% 5% 2004 년 11 월악성코드유형별현황 2% 1% 1% 3% 1% 1% 58% 웜트로이목마윈도우파일스크립트유해프로그램드롭퍼부트애드웨어매크로도스 [ 그림 5] 악성코드유형별현황 Copyright AhnLab Inc,. All Rights Reserved. 6
11월의악성코드피해건수에비해신고된악성코드수는눈에띄게감소하였다. V3엔진의강화에따른신고건수의감소는고무적이라할수있다. 다만아직까지도메일을통해전파되는악성코드의피해건수가줄어들지않고있는점과 11월에급격히줄어들기는했으나예년과비교했을때전반적으로많이발견된보안취약점을이용하여네트워크로전파되는악성코드가계속발견되고있다는점은꼭기억하여상황에적절한대응을지속적으로수행해나가야할것이다. Copyright AhnLab Inc,. All Rights Reserved. 7
II. 11월국내신종악성코드발견동향 작성자 : 최동균연구원 (cdk@ahnlab.com) 11월한달동안접수된신종 ( 변형 ) 악성코드의건수는 [ 표1], [ 그림1] 과같다. 웜트로이드롭퍼스크립트파일리눅스부트매크로부트 / 파일애드웨어합계 213 95 11 10 0 0 0 0 0 0 329 [ 표1] 2004년 11월유형별신종 ( 변형 ) 악성코드발견현황 2004 년 11 월신종 ( 변형 ) 악성코드현황 29% 3% 3%0% 65% 웜트로이드롭퍼스크립트파일리눅스부트매크로부트 / 파일애드웨어 [ 그림 1] 2004 년 11 월신종악성코드발견현황 11 월신종악성코드동향 11월크게주목할사항은 Zero-Day Exploit Attack을위한악성코드가발견, 보고되었다는점이다. 인터넷익스플로러 6.0 브라우저에서검사되지않은 iframe 태그로인한버퍼오버플로우발생가능성이 11월 5일포럼등을통해언급되었으며, 해당취약점을이용한악성코드인보프라웜 (Win32/Bofra.worm.20751) 1 이 11월 9일발견되었다. 이는보안취약점공개후이를이용한악성코드제작까지의소요시간이비교적여유가있었던기존의통념을무너뜨리는것으로마이크로소프트사는보안취약점정기업데이트예정일인 12월 7일보다앞당겨서 12월 1일해당취약점을보완하기위한패치를제공하였다. MS의윈도우보안취약점은악성코드제작자들에게충분히매력적인소재임에틀림없다. 이 1 타백신에서는 MYDOOM 으로명명되기도한다 Copyright AhnLab Inc,. All Rights Reserved. 8
를이용한악성코드는앞으로꾸준히증가할것으로예상되며, Zero-Day Exploit Attack 피 해방지를위해관련시스템의보안패치배포시즉시적용하는등의적극적인관심이필요 하다. 2004 년월별신종 ( 변형 ) 악성코드건수 700 600 629 500 524 464 476 462 400 300 286 305 365 361 329 200 100 125 0 1 월 2 월 3 월 4 월 5 월 6 월 7 월 8 월 9 월 10 월 11 월 [ 그림 2] 2004 년월별신종 ( 변형 ) 악성코드발견현황 이번달에변형및새로이발견, 보고된악성코드중이슈가있었던것은다음들과같다. 보프라웜 (Win32/Bofra.worm.20751 Win32/Bofra.worm.20751) 1 인터넷익스플로러의보안취약점 (MS04-040) 2 을이용하며, 이메일을통해전파되어감염 시스템이크게확산되었다. 보프라웜은발송되는이메일헤더를변조하여백신프로그램에서검증된 - 감염되지않은메 일 - 것처럼사용자를현혹하여감염을유도한다. 변조하는이메일헤더내용은다음과같은 유형이다. - X-AntiVirus: Checked by Dr.Web (http:/ /www.drweb.net) - X-AntiVirus: scanned for viruses by AMaViS 0.2.1 (http:/ /amavis.org/) 1 AhnLab, Win32/Bofram.worm.20751 http://info.ahnlab.com/smart2u/virus_detail_1584.html 2 Micorsoft, 인터넷익스플로러 6.0 SP1 의 IFRAME SRC NAME 버퍼오버플로우보안문제 (MS04-040) http://www.microsoft.com/technet/security/bulletin/ms04-040.mspx ( 영문자료 ) http://www.microsoft.com/korea/technet/security/bulletin/ms04-040.mspx ( 한글자료 ) Copyright AhnLab Inc,. All Rights Reserved. 9
- X-AntiVirus: Checked for viruses by Gordano's AntiVirus Software 이메일본문중 IFRAME 태그에서버퍼오버플로우를발생하여악의적인사용자가 Administrator 권한을획득할수있다. 따라서해당취약점에대해시스템을보호하기위해서는관련보안패치를적용하거나, 윈도우 XP 사용자는 DEP(Data Execution Protection) 기능이포함된서비스팩 2 설치해야한다. 보프라웜은이웜이이용하는취약점이공개된이후불과 4일만에발견되었다. 이는 Zero- Day Exploit Attack의주기가점점단축되고있으며, 악성코드제작자들이시스템감염을위해언제든최신보안취약점을이용할수있음을시사하고있다. 모페이웜 (Win32/Mofei.worm.23552 Win32/Mofei.worm.23552) 1 WMF(Windows Metafile) 및 EMF(Enhanced Metafile) 이미지형식의파일을처리하는그래픽렌더링엔진에서발생할수있는취약점 (MS04-032) 2 을이용한악성코드가발견되었다. 보안에취약한시스템이해당취약점코드를가지고있는이메일열람시 Heap Overflow 를발생하여악의적인사용자가 Administrator 권한을획득할수있다. 취약점에대해시스템을보호하기위해서는관련보안패치를적용하거나, Windows XP 사용자는서비스팩2 설치를권장한다. 해당취약점의대상이.EMF 확장자의 32bit 이미지형식파일의처리가가능한 Windows XP 시스템으로한정되어있고취약점에의해유발되는 Heap Overflow 는관련된필수특정 DLL 의메모리주소가동적으로할당되어시스템별정상동작 (Heap Overflow 유발 ) 을가늠하기어려운형태여서감염피해규모는크지않았다. 하지만취약점을포함한이미지파일제작이비교적단순하여다수의변종이출현할가능성 이있으니, 대상시스템은취약점에노출되지않도록관련보안패치적용을권장한다. 스컬스 (Skulls Skulls) 모바일폰에탑재되어사용되는운영체제인심비안 (Symbian) OS를감염시키는스컬스의변형이발견되었다. 이는테마매니저를가장한 'icons.sis' 파일을모바일폰에다운로드할때감염되며, 대표적인 1 AhnLab, Win32/Mofei.worm.23552 http://info.ahnlab.com/smart2u/virus_detail_1593.html 2 Microsoft,, 그래픽렌더링엔진취약점 (MS04-032) http://www.microsoft.com/technet/security/bulletin/ms04-032.mspx ( 영문자료 ) http://www.microsoft.com/korea/technet/security/bulletin/ms04-032.mspx ( 한글자료 ) Copyright AhnLab Inc,. All Rights Reserved. 10
증상은모든메뉴아이콘이해골 (Skull) 로변하고통화이외의부가기능은사용할수없게된다. 또한감염대상블루투스디바이스를지속적으로탐색하는증상으로인해모바일폰배터리사용시간이단축될수있다. 더불어블루투스를통한복제바이러스자동전파가능성이제기되었으나, 감염대상시스템 ( 모바일폰 ) 사용자가외부로부터유입된프로그램설치에승인하는절차가필요하여 2차감염우려는없는것으로확인되었다. 스컬스는심비안 OS를사용하는모바일폰으로감염대상이한정되어있으며, 2차감염에대해사용자의개입 ( 실수 ) 을필요로하여자체가가지는파괴력은미미하다. 하지만악성코드제작자들의감염목표가데스크탑에국한되지않고휴대용기기등으로확장중이며, 모바일악성코드를악의적인목적으로연구하는활동이증가하고있음을시사하고있다. 유형별신종 ( 변형 ) 악성코드현황다음은 11월발견된신종 ( 변형 ) 악성코드의유형별현황이다. 11 월신종 ( 변형 ) 악성코드유형 3% 3% 3% 웜 (IRCBot) 트로이목마 29% 웜 (Mail,etc) 드롭퍼 62% 스크립트 [ 그림 3] 11 월신종 ( 변형 ) 악성코드유형별현황 지난달에기술한것처럼샘플접수관련정책이변경되어기존진단된악성아이알씨봇 (IRCBot) 웜유형은신종 ( 변형 ) 의악성코드집계에서제외되어악성아이알씨봇 (IRCBot) 웜이차지하는비중이 10월에이어감소추세를보이고있다. 하지만타악성코드유형에비해상대적인비중은여전히매우높은것을알수있다. 전통적인악성코드유형중시스템감염후독립적인임무를수행하는객체를다수내포하 고있는드롭퍼의발견이조금씩증가를보이고있다. 이로인해감염된시스템은리소스부 Copyright AhnLab Inc,. All Rights Reserved. 11
족, 백도어오픈, 네트워크트래픽증가등의복합적인증상이나타난다. 제작지별신종 ( 변형 ) 악성코드현황다음은신종 ( 변형 ) 악성코드들의국산 / 외산현황이다. 2004 년신종악성코드국산 / 외산현황 700 600 629 500 516 464 473 459 400 300 266 280 346 361 329 국산 외산 200 100 0 104 4 20 25 8 8 0 3 3 0 0 0 1월 2월 3월 4월 5월 6월 7월 8월 9월 10월 11월 [ 그림 4] 2004 년제작지별신종악성코드현황 11월신종악성코드의제작지는모두국외로확인되었으며, 국내의경우애드웨어및스파이웨어의제작이눈에띈다. 이들의차이점은악성코드대부분이시스템장악및능률성저하를목적으로하는반면애드웨어및스파이웨어의경우통상금전적이득을목적으로제작되는특성이있다. 향후악성코드제작유형별비중은큰변화를보이지않고여전히국외에편중된양상을나타낼것으로전망된다. 애드웨어및스파이웨어의경우이에대응하는제품들을우회하기위해점점지능화되고있어악성코드와의경계가옅어지고있다. 이는현재서로분리된영역의전통적인백신프로그램과안티애드웨어의통합화가필요하다는것을의미한다고할수있다. 또한올한해악성코드키워드중하나였던봇류가하향곡선을그리고있어, 이를대체하기위한새로운유형의악성코드가출현할가능성이있음을예의주시할필요가있다. Copyright AhnLab Inc,. All Rights Reserved. 12
III. 11월신규보안취약점 작성자 : 이정형연구원 (jungh@ahnlab.com) 11월달에는이전달에비하여보안패치발표가가장적었던달이다. 11월달에발표된취약점은 ISA Server 2000 및 Proxy Server 2.0의취약점으로인한인터넷콘텐츠스푸핑허용문제 (MS04-039) 와인터넷익스플로러 6.0 SP1의 IFRAME SRC NAME 버퍼오버플로우보안문제 (MS04-040) 가있었다. 이중에서인터넷익스플로러의버퍼오버플로우문제를알아보기로하자. 개요이취약점은 IFRAME, FRAME, EMBED 요소에서사용되는 SRC와 NAME 속성에최대버퍼크기보다큰값이들어갈때버퍼오버플로우가발생하여악의적인침입자가해당시스템을장악할수있는버그이다. 이번취약점에영향을받는소프트웨어는다음과같다. Microsoft Internet Explorer 6.0 SP1 가포함되어있는운영체제 Windows 98 Windows 98 Second Edition Windows Me Windows 2000 SP3 Windows 2000 SP4 Windows NT 4.0 Server SP6a Windows NT 4.0 Server TSE SP6 Windows XP 64-bit Edition SP1 Windows XP SP1 취약점설명 IFRAME이란 Inline Floating Frame의줄임말로써, 웹문서안에추가로웹문서를포함할때사용되어지는태그이며, 해당하는속성들은다음과같다. 속성 Src Name Width Height 설명프레임속에보여질문서의주소이름, 프레임태그의 name 프레임의넓이프레임의높이 Copyright AhnLab Inc,. All Rights Reserved. 13
marginwidth magrinheight Frameborder Align Scrolling Hspace/vspace 프레임의좌우넓이프레임의상하여백프레임 border 의두께정렬방식스크롤바생성여부가로, 세로여백 SRC 와 NAME 속성에아래와같은조건일경우에버퍼오버플로우가발생하게된다. <IFRAME SRC=file://A x 250 (250 bytes 이상 ) NAME="A x 2024 (2024 bytes 이상 ) > </IFRAME> 아래그림은버퍼오버플로우가발생하였을때인터넷익스플로러의화면이다. 이취약점은사용자가웹사이트에서취약점코드가내장된악의적인웹페이지를보거나취 약점코드가포함된 HTML 문서를볼때시스템관리자의권한을빼앗길수도있다. 공격코드가 11 월초에언더그라운드메일링리스트에서발표되면서애드웨어와메일의첨부 Copyright AhnLab Inc,. All Rights Reserved. 14
파일을사용하지않는보프라웜 (Win32/Bofra.worm) 1 에서벌써이취약점을이용하여피해 를주고있다. 웜과애드웨어, 다운로더등에서취약점코드가내장이되어있는웹문서에접속하게하거나, 파일다운로드, 파일이첨부되는형태로의공격방법이예상되며, 이를통해임의적으로악성 프로그램을실행을할수있으니주의가요망된다. 이취약점에해당하는보안패치는취약점이공개된지한달후인 12 월초에마이크로소프트 사에서발표되었다. 2 브라우저보안브라우저에서늘문제가많이되는것은 ActiveX와 JavaScript이다. 보안설정에서이기능을해제하고사용하면보안에많은도움이되지만, 일반적인사이트들에접속했을때웹페이지가제대로안보이는문제점이있다. 웹브라우저인인터넷익스플로러에는많은취약점들이존재하며, 그중에서는패치가되지않은취약점들또한존재한다. 인증된사이트또는공식사이트들만접속하는것이가장좋으며, 기타브라우저인파이어폭스 ( 모질라 ) 등을사용하는것도한가지방법일수있다. 마지막으로보안이강화된윈도우 XP 서비스팩 2 버전을사용을하여도많은취약점공격으로부터벗어날수있다. 1 AhnLab, 보프라웜 http://info.ahnlab.com/smart2u/virus_detail_1584.html 2 마이크로소프트, MS04-040 : http://www.microsoft.com/technet/security/bulletin/ms04-040.mspx Copyright AhnLab Inc,. All Rights Reserved. 15
IV. 11월일본피해동향 작성자 : 김소헌주임연구원 (sohkim@ahnlab.com) 일본의마케팅관련회사인 Cyber Brains(http://www.cyber-brains.com) 가일본의백신프로그램이용현황을조사한자료에따르면일본 PC 사용자의백신프로그램사용률은 73.5% 이고이중악성코드에감염된경험이있는 PC 사용자는 30% 정도인것으로나타났다. [ 그림 1] 은악성코드감염경험여부를묻는항목에대한피설문자의응답내용을도표로나타낸것이다. 타연령대에비해 10대와 20대남성의악성코드감염경험이가장많은것을알수있는데, 이는타연령대에비해 PC 사용량이많고업무이외의용도로사용되는경우가많은것이원인이될수있을것이다. [ 그림 1] 백신프로그램설치전악성코드감염경험여부조사 ( 자료출처 : Cyber Brains) [ 그림2] 는백신프로그램설치후악성코드에감염된경험이있는지여부를묻는항목에대한피설문자의응답내용이다. 조사결과감염을당한경험이있는피설문자가 20% 정도로높게나타났는데이러한현상은제작기법이다양해지고 OS에대한직접적인공격이빈번하게발생하는등빠르게진화하는악성코드들로부터백신프로그램이 PC 사용자의안전을보 Copyright AhnLab Inc,. All Rights Reserved. 16
장해주는것에한계가있음을보여주는것이라할수있다. [ 그림 2] 백신프로그램설치후악성코드감염경험여부조사 (* 자료출처 : Cyber Brains) 물론백신프로그램제작업체에서도이러한상황을극복하기위해방화벽과같은여러가지 보완제품들이배포되고있으나아직 PC 사용자들은이러한잠재된위협에대해서는아직 둔감한것으로보인다. 일본유행악성코드유형별발생현황 2004년 11월한달동안일본에서가장많이유행한악성코드는전월과마찬가지로넷스카이웜 (Win32/ Netsky.worm) 이다. [ 표1] 은일본의 IPA/ISEC에서집계한 2004년 12월악성코드피해통계자료이다. 넷스카이웜의피해신고건수가 1,315건으로가장많은양을차지하고있는것을볼수있다. [ 표 1] 에는포함되어있지않지만 11 월에새롭게제작되어확산된보프라웜 (Win32/Bofra.worm) 이 40 건을기록하고있다. Copyright AhnLab Inc,. All Rights Reserved. 17
Window/Dos 건수 Macro Virus 건수 Script Virus 건수 Virus W32/Netsky 1,315 Xm/Laroux 27 VBS/Redlof 92 W32/Bagle 654 X97M/Tristate 10 VBS/ Fortnight 7 W32/Mydoom 394 W97M/Melissa 4 VBS/Loveletter 4 W32/Lovgate 322 X97M/Divi 3 VBS/FreeLink 3 W32/Klez 310 WM/Sic 3 VBS/Netlog 3 W32/Zafi 211 W97M/Ethan 2 VBS/ Internal 2 [ 표1] 11월일본의악성코드피해신고현황 ( 출처 : IPA/ISEC) 악성코드의감염경로별통계 [ 표2] 는감염된악성코드의감염경로에대한통계를나타낸것이다. 표에서알수있는것 처럼메일을통한감염이 98.5% 로감염의주요경로인것을알수있다. 한해동안발견되는악성코드들중에서 Mass Mailer의기능을가진악성코드가차지하는비 율은매우적다. OS나아웃룩등의취약점을이용하는특별한경우를제외하고는사용자가 직접파일을실행시켜야하는등조금만조심하면감염을막을수있는이메일웜의특성을 생각해볼때감염예방을위한사용자의주의가필요하다고할수있다. 감염경로 피해건수 2004 년 10 월 2004 년 9월 2003 년 10 월 메일 5,229 98.5% 4586 98.5% 1,650 92.4% 외부의모체 3 0.1% 1 0% 20 1.1% 다운로드 5 0.1% 6 0.1% 4 0.2% 네트워크 62 1.2% 51 1.1% 60 3.4% 기타 9 0.2% 10 0.2% 52 2.9% [ 표2] 악성코드감염경로통계 일본네트워크트래픽현황 [ 그림3] 은 2004년 11월일본의네트워크트래픽현황을표로나타낸것이다. 가장많은트래픽이발생한포트는 TCP 135와 TCP 445 포트이다. 두포트들은윈도우에서에서기본으로사용되는포트들이지만최근에는아고봇 (AgoBot) 과같은네트워크를통해전파되는웜들이윈도우의취약점을이용한공격시사용되는경우가많다. OS가알수없는이유로재시작되거나외부로대량의트래픽을유발하는경우해당취약점을이용한웜에감염되었을가능성이매우높으므로백신프로그램을이용할것을권장한다. Copyright AhnLab Inc,. All Rights Reserved. 18
[ 그림 3] 일본의네트워크트래픽현황 Copyright AhnLab Inc,. All Rights Reserved. 19
V. 11월중국피해동향 작성자 : 장영준연구원 (zhang95@ahnlab.com) 2004 년한해도어느덧저물어가고 2005 년새해를맞이하는 12 월에이르렀다. 2004 년한 해를마무리하는중국현지에서는 11 월한달동안어떠한악성코드들이발견되고많은확산 이되었는지짚어보도록하자. 악성코드 TOP 5 순위변화순위 Rising - 1 Worm.Lovgate - 2 Worm.Netsky 1 3 TrojanDroper.Worm.Bagz 1 4 Backdoor.Rbot - 5 Backdoor.Sdbot [ 표1] 2004년 11월 Rising 악성코드 TOP 5 - - 순위변동없음, New 순위에새로진입, - 순위상승, - 순위하락 순위변화 순위 CNCVERC - 1 Worm_Netsky.D - 2 Worm_Lovegate.C - 3 Worm_Bbeagle.J - 4 Worm_AgoBot [ 표2] 2004년 11월 CNCVERC 악성코드 TOP 4 - - 순위변동없음, New 순위에새로진입, - 순위상승, - 순위하락 위 [ 표1] 은중국로컬안티바이러스업체인라이징 (Rising) 사에서조사한 11월한달동안가장많은감염신고가있었던악성코드순위이다. 지난 10월과비교하여가장두드러진변화는백쯔웜 (TrojanDroper.Worm.Bagz, V3진단명 Win32/Bagz.worm.155140) 이큰폭으로증가하였다는것이다. 그증가폭은이번달에도 1위와 2위를차지하고있는러브게이트웜 (Worm.Lovgate, V3진단명 Win32/Lovgate.worm) 과넷스카이웜 (Worm.Netsky, V3진단명 Win32/Netsky.worm) 의수치를위협하는수위에이르고있다. 이러한백쯔웜의증가세로인해아이알씨봇웜 (Backdoor.Rbot, V3진단명 Win32/IRCBot.worm) 은한계단하락하게되었다. 이두웜의변화를제외하고는지난 10월달과비교하여동일한순위를유지하고 Copyright AhnLab Inc,. All Rights Reserved. 20
있다. 그리고 [ 표2] 는중국국가컴퓨터바이러스대응중심 (China National Computer Virus Emergency Response Center 이하 CNCVERC) 에서작성한 11월한달동안의순위이다. 위표에서와같이이번 11월달에도 10월달과같이순위변화없이현상유지를보여주고있다. 이러한라이징과 CNCVERC의순위차이는데이터수집과통계작성방식의차이로볼수있다. 주간악성코드순위 순위 1주 2주 3주 4주 1 Worm.Netsky Worm.Lovgate TrojanDroper.Worm.Bagz Backdoor.Rbot 2 Worm.Lovgate TrojanDroper.Worm.Bagz Worm.Netsky Backdoor.Sdbot 3 TrojanDroper.Worm.Bagz Worm.Netsky Worm.Lovgate TrojanDroper.Worm.Bagz 4 Worm.BBeagle Backdoor.Rbot Worm.Agobot Trojan.PSW.Lieage 5 Backdoor.Rbot Worm.Agobot.3 Backdoor.Rbot Worm.Netsky [ 표3] 2004년 11월 Rising 주간악성코드순위 순위 1주 2주 3주 4주 1 Worm_Netsky.D Worm_Netsky.D Worm_Netsky.D Worm_Netsky.D 2 Worm_Lovgate.C Worm_Bbeagle.J Worm_Bbeagle.J Worm_Lovgate.C 3 Worm_Bbeagle.J Worm_Lovgate.C Worm_Lovgate.C Worm_Bbeagle.J 4 Worm_AgoBot Worm_AgoBot Worm_AgoBot Worm_AgoBot [ 표4] 2004년 11월 CNCVERC 주간악성코드순위 [ 표3] 의라이징주간악성코드순위변화를살펴볼경우에도백쯔웜의증가세가잘반영되어있다. 특히 11월 3주차에서는기존의넷스카이웜과러브게이트웜을제치고 1위를차지할만큼급상세를타기도하였다. 그러나 4주차에접어들면서감소세를보여 3위로하락하였다. 이러한순위하락이일시적인현상일지아니면 12월 1주차에서다시상승세로이어갈지는상당히주목할부분이다. 그리고 11월주간악성코드순위에서트로이목마로서는유일하게 4주차에 Trojan.PSW.Lineage가등장하기도하였다. 신종악성코드동향 11월에발견된신종악성코드는트로이목마의강국이라는중국답게대부분백도어또는트로이목마류였다. 그러나그중에서유일하게 I-Worm.TachQQ만이메일을전파경로로이용하는메스메일러 (Mass Mailer) 였다. I-Worm.TachQQ는비주얼베이직 5.0으로제작되었으며실행압축된형태였다. 그리고발신되는메일주소는 @qq.com로되어있으며전파되는메일형식도모두중국어로된점이특이할만하다. 그리고이번달역시 QQ 메신저를이용하여전파되는트로이목마인 Trojan.QQMSG.Boker가발견된었다. Trojan.QQMSG.Boker는 Copyright AhnLab Inc,. All Rights Reserved. 21
QQ 트로이목마의전형적인형태로 QQ 메신저를이용하여특정웹사이트로접속을유도하 는문구를전송한다. 그리고해당웹사이트에접속하게될경우, 해당트로이목마가감염되 는형태이다. 악성코드분포 [ 그림 1] 2004 년 11 월중국의악성코드분포 이번달의악성코드분포의특징은글머리에서서술한바와같이백쯔웜의급격한증가세라할수있다. 백쯔웜을지난달의분포와비교해볼경우지난 10월 7.6% 였었으나이번달에는 3배가량증가한 21% 로대폭증가하였다. 이수치는이번달순위에서 1위와 2위를차지하고있는러브게이트웜과넷스카이웜의분포와거의비슷한수위까지이르게되었다는것을 [ 그림1] 에서자세히보여주고있다. 이에반해지난달 36% 와 30% 였던러브게이트웜과넷스카이웜은 10% 가량감소한 24% 를보여주고있다. 이러한두웜의감소현상은백쯔웜의증가세도한요인으로작용하였지만기타에포함된다양한악성코드의등장으로도기인한다고볼수있다. 기타에포함된악성코드들로는베이글웜 (Worm.Bbeagle, V3 진단명 Win32/Bagle.worm), Trojan.StartPage.Sexplorer, I-Worm.TachQQ와 Backdoor.Banito.plugin 등다양한종류의악성코드들이포함되어있다. 맺음말 11월달의가장큰변화는글머리에서언급한것과같이백쯔웜이기존의러브게이트웜과넷스카이웜의수치에이를만큼널리확산된것으로분석된다. 특히 10월마지막주에등장하여한달사이기존의웜수치만큼증가하였다는것은중국현지에서의확산이한국이나유럽권에비하여특히나많은감염이있었던것으로추정된다. 그리고또하나의특이점을짚어볼경우, 다양한형태의악성코드가대거등장했다는것이다. 기존의중국악성코드동향은순위권을제외한기타악성코드대부분이트로이목마또는백도어류였으나이번 11월달에는중국에서제작된것으로추정되는메스메일러인 I-Worm.TachQQ, 지속적인변형이등장하는 QQ 트로이목마들과애드웨어류의숫적증가하였다. 이러한다양한종류의악성코드발견이향후중국악성코드동향을어떠한방향으로흐르게될지주목된다. Copyright AhnLab Inc,. All Rights Reserved. 22