네이버 메인에 뜰 정도로 요새 심각한 바이러스라네요.

감염 시 PC 시간을 2090년 1월 1일로 바꿔버리고 무한 로그오프 및 하드 디스크 이상이 생긴다네요..

관련 윈도우 보안 패치가 나왔으니 아래 링크에서 다운 받으세요.

http://www.microsoft.com/downloads/info.aspx?na=90&p=&SrcDisplayLang=ko&SrcCategoryId=&SrcFamilyId=0d5f9b6e-9265-44b9-a376-2067b73d6a03&u=http%3a%2f%2fdownload.microsoft.com%2fdownload%2f5%2ff%2f7%2f5f7a0d69-062e-423a-8d8f-ebc2eafe2bcf%2fWindowsXP-KB958644-x86-KOR.exe

다운로드 :[##_1C|1344374623.xxx|filename="windowsxp-kb958644-x86-kor.exe" filemime="application/x-dosexec"|_##]

안랩제공 바이러스 정보 ▼

[#M_더보기|접기|

Win32/AimBot.worm.15872

최초 입력시간 : 2009. 02. 10 16:32 (GMT+9)

최종 수정시간 : 2009. 02. 11 13:52 (GMT+9)

위험도
위험도	높음	매우높음	높음	보통

다른이름

Win-Trojan/Agent.15872.KM, Virus.Win32.PureMorph!IK, Win32:PureMorph, Generic12.BMBL, Trojan.Win32.Inject.oqw, Virus.Win32.PureMorph, Trojan/W32.Agent.15872.AY, Trojan.Win32.Crypt.15872.B

생성 파일명

7673010, 20410.sys, system.exe

대표적 증상

시스템 관련, 네트워크 관련, 보안상 위험, 네트워크 트래픽 발생, 사용자 정보 유출

활동 플랫폼

윈도우

감염/설치 경로

네트워크, 보안취약점

종류

웜, 백도어

형태

실행파일

들어오는 포트

나가는 포트

제작국

불분명

특정활동일

특정일 활동 없음

최초 발견일

2009-02-09 (현지시각 기준)

국내 발견일

2009-02-09

V3
대응정보

2009.02.09.03 엔진으로 이 바이러스를 진단할 수있습니다.	2009.02.09.03 엔진으로 이 바이러스를 치료할 수있습니다.

안철수연구소의 보안제품을 온라인으로 바로 구입하실 수 있습니다.

바이러스 진단 및 치료는 V3 제품군을 이용하시기 바랍니다. V3가 설치되어 있지 않은 고객께서는 V3 Lite을 무료로 이용하실 수 있습니다.

모든 V3 제품군의 최신 엔진 업데이트 내용을 여기에서 확인하실 수 있습니다.

증상 및 요약

Win32/Aimbot.worm.15872 는 Win32/IRCBot.worm의 변형 중 하나이다. 웜이 실행되면 윈도우 시스템 폴더에 system.exe와 템프 폴더에 5자리 숫자를 가진 랜덤한 파일명.sys를 생성한다. 그리고 특정 IRC 서버의 채널에 접속하여 오퍼(방장)가 내리는 명령에 따라 다양한 악의적인 기능을 수행하게 된다.

상세정보

* 전파 경로

윈도우 서버 서비스 관련 취약점(MS08-067)또는 오래전에 알려진 RPC DCOM (MS03-039) 취약점 코드가 포함 되어 있다. 그러나 스스로 전파하는 기능은 없고 특정 호스트에 접속후 공격자의 명령에 의해서만 취약점을 이용하여 전파 되는 것으로 보인다. 이 부분은 추후 분석이 완료되는대로 업데이트 될 예정이다.

네트워크 드라이브나 USB 플래쉬 메모리를 통해 전파되며 악성코드 파일(explorer.exe)와 autorun.inf 파일을 생성한다.

* 실행 후 증상

[파일 생성]

윈도우 시스템 폴더에 랜덤한 7자리 숫자로 된 파일명을 갖는 파일을 생성하는데 악성코드 복사본이다.

주) 윈도우 시스템 폴더는 사용 윈도우에 따라 다르며 보통 윈도우 95/98/ME는 C:\Windows\System, 윈도우 NT/2000은 C:\WinNT\System32, 윈도우 XP는 C:\Windows\System32 폴더이다.

* Win32/AimBot.worm.15872 증상 *

실행되는 파일명이 system 이라면 시스템 시간을 2090년 1월 1일로 변경하지 않는다. 다만 "system"이 아닌 다른 이름으로 실행하면 시스템 시간을 2090년 1월 1일로 설정한다. 그리고 윈도우 방화벽 허용 리스트에 자신을 등록해둔다.

부팅 후 자동실행 되기 위해서 다음 레지스트리 값을 생성 시킨다. 해당 레지스트리키는 악성코드가 실행 중 일 때는 접근 할 수가 없다.

Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon

그리고 7자리 난수를 발생시켜 system32 폴더에 자기 자신을 복사 해둔다. 5자리 난수를 발생시켜 C:\Documents and Settings\(사용자 계정)\Local Settings\Temp 에 sys 파일을 생성한다.

또한 악성코드는 다음과 같은 쓰레드를 생성하는데 하는 증상은 다음과 같다.

- 외부로 부터 메시지를 받기 위한 쓰레드(Thread) 생성
- sex.(제거됨).com에 접속하기 위한 쓰레드 생성
- 자신이 생성한 Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon 키 값의 변화를 감지하여 키 값을 삭제 혹은 변경하였을 경우 다시 원래대로 복구한다.

위에서 언급한 랜덤한 5자리 숫자로 된 파일명을 갖는 sys 파일을 생성하는데 V3에서 Win-Trojan/Agent.4096.EI 으로 진단된다.

주) 템프 폴더는 C:\Documents and Settings\사용자 계정명\Local Settings\Temp 폴더이다.

* Win-Trojan/Agent.4096.EI 의 증상 *

1. 다음의 시스템의 네트워크 디바이스에 Attach된 모니터링 드라이버를 제거한다.
Tcpip, Udp, Tcp, IPMULTICAST, Ip
- 방화벽이나 패킷모니터등의 네트워크 감시모듈을 제거한다.

2. ntoskrnl.exe의 Unknown 윈도우보안 함수를 후킹하여 레지스트리의 보안키에 대한 접근을 모니터링하며 Winlogon 프로세스가 호출한 경우 원본함수 호출하지 않는다.
\Registry\Machine\Security\Policy\Secrets\
- 위 레지스트리는 시스템의 사용자계정과 패스워드등의 중요 보안정보를 백업하는 중요키이며, 일반적인 레지스트리 편집기로는 해당 내용을 볼 수 없다. 레지스트리 편집기에는 HKLM\SECURITY 까지만을 확인할 수 있다.

3. \Driver\Atapi 디바이스의 DriverStartIo 함수를 후킹한다.
- 파일시스템 드라이버 입출력시 악성코드 드라이버 모듈 및 레지스트리를 은닉 하도록 한다.

4. ntoskrnl.exe의 IoCallDriver 함수를 후킹한다.
- 해당함수 후킹을 통하여 자신의 파일에 대한 보호를 한다.

- 시스템 시간을 2090년 1월 1일로 변경한다.

* 기타 증상 *

시스템에 따라서 악성코드가 실행 될 때 블루스크린(BSOD)가 발생 될 수 있다. 이러한 이유는 악성코드가 생성하는 드라이버를 로드 하는 과정중에 시스템에 설치된 다른 드라이버와 충돌이 발생한 것으로 보인다. 이후 이와 같은 증상으로 시스템이 정상적으로 부팅 되지 않을 수 있다. 또한 윈도우 로그온 화면에서 정상적인 로그온을 하지 못하고 시스템이 계속적으로 재부팅 될 수 있다. 이 또한 악성코드가 자신을 특정 레지스트리 값에 등록 하려고 할 때 버그 또는 원인을 추정 할 수 없는 이유로 정상적으로 해당 레지스트리 키값을 인식하지 못하여 발생 하는 것으로 추정 된다.

_M#]

알약제공 바이러스 정보 ▼

[#M_더보기|접기|

[보안공지] 2090 악성코드(V.WOM.Aimbot.cc) 주의

분류		등록일	2009-02-10


	안녕하세요? 이스트소프트 알약 긴급대응팀입니다. 2월 9일부터 PC 시간을 2090년 1월 1일로 강제 변경하는 특징을 가진 2090바이러스(V.WOM.Aimbot.CC)가 전파되고 있습니다. 2090바이러스(V.WOM.Aimbot.CC)는 IRC(인터넷 릴레이 채팅) 서버를 통해서 전달되는 공격자의 명령에 따라 악의적인 동작을 추가적으로 수행할 수 있으므로 PC 사용자가 예방 조치를 필수적으로 시행하여야 합니다. 알약에서는 현재까지 알려진 2090바이러스(V.WOM.Aimbot.CC)와 변종을 진단, 치료하고 있습니다. 지속적인 변종 발생으로 DB 분석팀에서는 긴급 분석 및 DB를 업데이트 하고 있으므로 항상 최신 DB로 유지하여 주시고, 예약 검사를 설정하셔서 주기적인 검사를 실행하시기를 바랍니다. 문제가 되고 있는 무한 로그인으로 인해 부팅이 안되는 현상은 악성코드가 부팅후에도 실행 우선 순위를 높이기 위해서 레지스트리 값을 변경하는 과정에서 레지스트리 값이 손상된 경우에 발생하는 경우이며, 일반적으로 나타나는 현상은 아닙니다. 알약은 시스템의 중요 파일들을 백업하였다가 복구하는 기능을 이미 탑재하여 제공하고 있으므로 이런 위협으로부터 안전하게 보호되고 있습니다. PC를 안전하게 유지하기 위해서는 항상 예방 방법에 대해서 숙지하시고 미리 조치하셔서 발생할 수 있는 보안 문제를 사전에 예방하시기 바랍니다. [감염 증상] 1. 2090년 1월 1일 오전 10시로 변경시킵니다. 2. 레지스트리에 자기 자신을 등록하여 부팅 후에도 우선순위로 실행하도록 설정합니다. 3. 특정 IRC 서버의 접속을 시도합니다. 4. IRC 명령을 받아 ICMP 공격을 실행합니다. 5. 메모리 리소스를 과도하게 사용하여 시스템 속도 저하 및 다운 현상이 발생합니다. [치료 방법] 현재 알약에서는 2090바이러스(V.WOM.Aimbot.CC)에 대한 진단 및 치료가 가능합니다. 1. 알약을 설치하신 후 최신 DB로 업데이트를 하시고, 실시간 감시를 꼭 활성화 시켜주십시오. 온라인에서 알약 업데이트가 불가능하신 분들은 수동DB업데이트 파일을 다운로드하여 최신DB로 업데이트하시기 바랍니다. >알약 수동 DB업데이트 파일 다운로드 2. 기본 검사를 실행하여 주십시오. 3. 만약 관련 악성코드가 탐지되어 치료되었다면, PC 시간 설정을 되돌리기 위해 날짜 및 시간 설정 변경 창에서 날짜 및 시간을 수동으로 입력하거나, 표준 시간대 설정을 클릭하여 현재 시간으로 변경합니다. 해당 악성코드의 변종 발생 가능성이 높으므로, 알약으로 치료해도 같은 증상이 반복해서 나타나는 경우 알약의 신고하기 메뉴나 알약 고객센터(http://alyac.altools.co.kr/support/Question.aspx)를 통해 신고를 부탁드립니다. [예방 방법] 1. 마이크로소프트의 최신 윈도우 보안 패치들을 설치합니다. 대부분의 악성코드는 취약점을 통해서 전파되는 경우가 많습니다. 윈도우 보안 업데이트를 최신으로 유지하시는 것이 가장 중요한 대비책이라고 볼 수 있습니다. 2. 알약의 DB를 항상 최신버전으로 업데이트하시기 바랍니다. 알약은 자동업데이트를 기본 설정으로 설치됩니다. 업데이트가 자동으로 안되고 있다면, 알약 실행 후 환경설정>업데이트 설정에 들어가셔서 업데이트 방식을 "자동"으로 설정하시기 바랍니다. 3. 알약의 실시간 감시를 활성화 시킵니다. 4. 예약검사 설정으로 주기적인 PC 검사를 수행합니다. 5. USB 자동실행(Autorun)을 통한 감염을 막기위해 USB 자동실행을 차단합니다. USB에 숨어있던 악성코드가 USB 연결시 자동 실행을 통하여 PC를 감염시키는 사례가 많습니다. USB자동실행차단 툴은 아래의 링크를 클릭하여 다운로드 받으시기 바랍니다. (usbguard.exe 프로그램 출처: 국가사이버안전센터, NCSC) > 국정원 USB 차단 프로그램 다운로드 - 기타 추가 조치사항 기업의 네트워크나 보안 관리자께서는 방화벽이나 IPS에서 61.193.240.* 대역의 TCP 81번 포트 접속을 차단시킵니다. 또한, 추가 변종이 나타날 경우를 대비하여 TCP 445, TCP/UDP 6665~6669번 포트 차단을 권장합니다.