미도움

Mydoom

mydoom, my.doom, w32라고도 한다.MyDoom@mm, Novarg, Mimail.R심가피는 마이크로소프트 윈도우에 영향을 미치는 컴퓨터 이다.그것은 2004년 1월 26일에 처음 목격되었다.소빅 웜과 아이러브유(ILOBYOU)[1]가 세운 종전 기록을 뛰어넘어 역대 가장 빠르게 확산된 이메일 웜이 됐다.

MyDoom은 감염된 컴퓨터를 통해 정크 메일을 보내도록 이메일 스팸 발송자들에 의해 의뢰된 것으로 보인다.[2]이 벌레는 "앤디; 나는 단지 내 일을 하고 있을 뿐이지 개인적인 일은 하지 않고, 미안한 것은 없다"는 문자 메시지를 담고 있어 많은 사람들이 이 벌레의 창조자가 돈을 받았다고 믿게 만들었다.초기에, 몇몇 보안 회사들은 이 웜이 러시아의 프로그래머로부터 유래되었다는 그들의 믿음을 표현했다.그 벌레의 실제 저자는 알려지지 않았다.

지렁이는 제대로 전송되지 않는 전자우편인 것 같았고, 원래 지렁이를 전자우편으로 보낸 대부분의 사람들은 스팸인 줄 알고 무시했다.하지만, 그것은 결국 전세계적으로 5천만 대 이상의 컴퓨터를 감염시키기 위해 퍼졌다.

추측성 초기 보도는 이 벌레의 유일한 목적이 SCO 그룹에 대한 분산된 서비스 거부 공격을 자행하는 것이라고 주장했다. MyDoom의 25%감염된 호스트는 트래픽이 범람하는 SCO 그룹을 대상으로 했다.SCO 그룹 자체의 주장에 자극된 무역 언론 추측에 따르면, 이는 논란이 되고 있는 Linux에 대한 SCO 그룹의 법적 조치와 대중 성명에 대한 보복으로 이 웜이 Linux 또는 오픈 소스 지지자에 의해 만들어졌다는 것을 의미한다고 한다.이 이론은 보안 연구자들에 의해 즉각 거부되었다.그 이후로, 바이러스를 수사하는 사법기관에 의해서도 마찬가지로 거부되었는데, 그들은 그것을 조직된 온라인 범죄 조직 탓으로 돌린다.

MyDoom의 초기 분석 결과, Mimail 웜의 변종인 것으로 나타났다. 즉, 대체 이름인 Mimail을 정의한다.R—같은 사람들이 두 벌레 모두에 책임이 있다는 추측을 불러일으키고 있다.두 벌레의 연관성에 대해서는 나중에 분석이 덜 결정적이었다.

MyDoom은 컴퓨터 보안 회사인 McAfee의 직원이자 이 웜의 초기 발견자 중 한 명인 Craig Schmugar에 의해 이름 지어졌다.슈무가르는 프로그램 코드 줄 안에 있는 'mydom'이라는 텍스트를 알아차린 후 이름을 선택했다.그는 "이것이 매우 클 것이라는 것은 일찍부터 명백했다.나는 그 이름에 '도움'이 들어 있는 것이 적절하다고 생각했다."[3]

기술 개요

MyDoom은 주로 이메일을 통해 전송되며, 전송 오류로 나타나며, 영어와 프랑스어를 포함한 다른 언어로 "Error", "Mail Delivery System", "Test" 또는 "Mail Transaction Failed"를 포함한 제목 줄이 있다.메일은 실행될 경우 사용자의 주소록과 같은 로컬 파일에 있는 전자우편 주소로 웜을 다시 전송하는 첨부파일을 포함하고 있다.그것은 또한 그러한 방식으로 퍼지기 위한 시도로 피어 피어 파일 공유 애플리케이션 Kazaa의 "공유 폴더"에 자신을 복사한다.

MyDoom은 Rutgers, MIT, Stanford, UC Berkeley와 같은 특정 대학뿐만 아니라 Microsoft, Symantec과 같은 특정 회사의 이메일 주소 표적을 피한다.일부 초기 보도는 이 웜이 모든 .edu 주소를 회피한다고 주장했지만, 이것은 사실이 아니다.

원래 버전인 마이덤.A는 두 개의 페이로드(payload)를 운반하는 것으로 설명된다.

  • (자체 SIMGAPI를 넣어) 하위 변환 PC를 원격 제어할 수 있는 포트 3127/tcp의 백도어.system32 디렉터리에 있는 DLL 파일을 Windows 탐색기하위 프로세스로 실행); 이것은 기본적으로 Mimail이 사용하는 것과 동일한 백도어다.
  • 2004년 2월 1일에 시작된 논란이 많은 회사 SCO 그룹의 웹사이트에 대한 서비스 거부 공격.많은 바이러스 분석가들은 이 페이로드가 실제로 작동하는지 의심했다.나중에 검사한 결과, 감염된 시스템의 25%에서만 기능하는 것으로 나타났다.

두 번째 버전, Mydoom.원래 페이로드뿐만 아니라 B도 마이크로소프트 웹사이트를 목표로 하며 호스트 파일을 수정하여 마이크로소프트 사이트와 인기 있는 온라인 안티바이러스 사이트에 대한 액세스를 차단하여 바이러스 제거 도구나 바이러스 백신 소프트웨어 업데이트를 차단한다.유통 중인 이 버전의 복사본의 수가 적다는 것은 마이크로소프트의 서버가 거의 나쁜 영향을 받지 않았다는 것을 의미했다.[4][5]

타임라인

  • 2004년 1월 26일:MyDoom 바이러스는 북아메리카에서 근무일이 시작되기 직전인 오전 8시 무렵(1300 UTC)에 처음 확인된다.가장 초기의 메시지는 러시아에서 유래되었다.하루 중 몇 시간의 기간 동안, 이 웜의 빠른 확산은 전체 인터넷 성능을 약 10퍼센트, 평균페이지 로딩 시간을 약 50퍼센트 늦춘다.컴퓨터 보안 회사들은 마이둠이 현재 10개의 이메일 메시지 중 1개를 담당하고 있다고 보고한다.
마이돔의 서비스 거부 공격은 2004년 2월 1일부터 시작될 예정이었지만, SCO그룹 웹사이트는 웜이 처음 출시된 지 몇 시간 만에 잠시 오프라인 상태가 된다.마이둠이 이것에 책임이 있었는지 확실하지 않다.SCO 그룹은 2003년 컴퓨터 바이러스와 무관한 여러 가지 분산 서비스 거부 공격의 대상이라고 주장했다.
  • 2004년 1월 27일: SCO 그룹은 이 벌레의 창조자를 체포하는 데 이르는 정보에 대해 25만 달러의 보상을 제공한다.미국에서는 FBI비밀경호국이 이 벌레에 대한 조사를 시작한다.
  • 2004년 1월 28일: 이 벌레의 두 번째 버전은 최초 공격 후 이틀 후에 발견된다.Mydoom이 보낸 첫 번째 메시지.B는 약 1400 UTC에서 확인되며 러시아에서 유래된 것으로 보인다.새 버전에는 SCO 그룹에 대한 서비스 거부 공격과 2004년 2월 3일부터 Microsoft.com을 목표로 한 동일한 공격이 포함되지만, 두 공격 모두 마이도어의 백도어 기능을 감추기 위한 것으로 의심되거나 비기능적인 디코이 코드가 포함되어 있다.미도움B는 또 더블클릭 등 온라인 마케팅 업체가 제공하는 팝업 광고뿐 아니라 60여 개 컴퓨터 보안업체들의 웹사이트 접속도 차단한다.
마이도움 정점의 확산; 컴퓨터 보안 회사들은 마이도움이 현재 다섯 개의 이메일 메시지 중 한 개를 담당하고 있다고 보고한다.
  • 2004년 1월 29일:마이덤의 확산은 마이덤에 벌레가 되면서 줄어들기 시작한다.B의 암호는 그것이 처음 예상했던 것만큼 빠르게 퍼지는 것을 막는다.마이크로소프트는 마이둠의 창시자 체포로 이어지는 정보에 대해 25만 달러의 보상금을 제공한다.b
  • 2004년 2월 1일: MyDoom에 감염된 전 세계 약 100만 대의 컴퓨터가 바이러스의 대규모 분산 서비스 거부 공격을 시작한다. 이는 지금까지 발생한 공격 중 최대 규모다.2월 1일이 동아시아와 호주에 도착함에 따라, SCO는 1월 31일 1700 UTC 전후의 DNS에서 www.sco.com을 삭제한다. (실제로 www.sco.com의 독립된 확인은 아직 없다.)
  • 2004년 2월 3일: Mydoom.마이크로소프트에 대한 B의 분산된 서비스 거부 공격은 마이크로소프트가 웜의 영향을 받지 않을 웹사이트 information.microsoft.com을 제공함으로써 시작된다.[6]그러나 공격의 영향은 미미하며 www.microsoft.com은 여전히 기능적이다.이는 미돔의 분포가 비교적 낮은 데 기인한다.B 변종, 마이크로소프트 웹 서버의 높은 부하 내구성 및 회사가 취한 주의사항.일부 전문가들은 마이크로소프트 소프트웨어 업데이트나 다른 웹 기반 서비스에 비해 부담이 적다고 지적한다.
  • 2004년 2월 9일: "기생충" 벌레인 둠쥬아이스가 퍼지기 시작한다.이 벌레는 미돔이 남긴 뒷문을 이용해 번진다.감염되지 않은 컴퓨터를 공격하지 않는다.미도움 중 하나와 비슷한 적재량이야B는 마이크로소프트에 대한 서비스 거부 공격이다.[7]
  • 2004년 2월 12일: Mydoom.A는 확산을 멈추도록 프로그램되어 있다.그러나 백도어는 이 날짜 이후에도 계속 열려 있다.
  • 2004년 3월 1일: Mydoom.Mydoom과 마찬가지로 B는 퍼지는 것을 멈추도록 프로그램되어 있다.A, 뒷문은 열려 있다.
  • 2004년 7월 26일: MyDoom의 변종은 구글, AltaVista, 라이코스를 공격하여, 인기 있는 구글 검색 엔진의 기능을 하루 중 더 많은 시간 동안 완전히 정지시키고, AltaVista와 라이코스 엔진에서 몇 시간 동안 눈에 띄는 저속한 속도를 만들어 낸다.
  • 2004년 9월 23일: MyDoom 버전 U, V, W, X가 등장하여 더욱 강력한 새로운 MyDoom이 준비되고 있다는 우려를 불러일으키고 있다.
  • 2005년 2월 18일: MyDoom 버전 AO가 나타난다.
  • 2009년 7월: MyDoom은 한국과 미국에 영향을 미치는 2009년 7월 사이버 공격에서 부활했다.[8]

참고 항목

참조

  1. ^ "Security firm: MyDoom worm fastest yet". CNN.com. Time Warner. 2004-01-28.
  2. ^ Tiernan Ray (2004-02-18). "E-mail viruses blamed as spam rises sharply". The Seattle Times. The Seattle Times Company.
  3. ^ "More Doom?". Newsweek. Washington Post Company. 2004-02-03.
  4. ^ "Mydoom virus starts to fizzle out". BBC News. BBC. 2004-02-04.
  5. ^ "How to Thwart Renewed 'MyDoom' E-Mail Bug".
  6. ^ "Microsoft Information: MyDoom (Wayback Archive from 4 Feb 2004)". microsoft.com. 2004-02-04. Archived from the original on February 4, 2004.{{cite web}}: CS1 maint : 부적합한 URL(링크)
  7. ^ "W32.HLLW.Doomjuice". Symantec Corporation. 2007-02-13.
  8. ^ "Lazy Hacker and Little Worm Set Off Cyberwar Frenzy". Wired News. 2009-07-08. Retrieved 2009-07-09.

외부 링크