스톰 웜

Storm Worm
W32/Storm.worm과 혼동하지 마십시오.
첨부 파일에 "Storm Worm"이 포함된 이메일 예시

스톰 웜(핀란드 회사 F-Secure에서 더빙)은 2007년 [3]1월 17일에 발견된 피싱 백도어[1][2] 트로이 목마입니다.[3][4][5]이 웜은 다음 이름으로도 알려져 있습니다.

  • Small.dam 또는 트로이 목마 다운로더.Win32.Small.dam (F-Secure)
  • CME-711(MITRE)
  • W32/Nuwar@MMDownloader-BAI(특정 변형)(McAfee)
  • 트로이/도르프 및 말/도르프(소포스)
  • 트로이 목마.DLTibs.Gen!Pac13[3]
  • 트로이 목마.다운로더-647
  • 트로이 목마.Peacomm (Symantec)
  • TROJ_SMARGEEDW(트렌드 마이크로)
  • Win32/Nuwar (ESET)
  • Win32/Nuwar.N@MM!CME-711 (Windows Live OneCare)
  • W32/Zhelatin (F-SecureKaspersky)
  • 트로이 목마, 피드, 트로이 목마Tibs(비트 디펜더)

스톰 웜은 2007년 1월 19일 금요일 유럽과 미국에 있는 수천 대의 컴퓨터(대부분 개인 컴퓨터)를 공격하기 시작했는데, 최근 기상 재해인 "230명의 사망자가 유럽"[6]에 대한 제목과 함께 이메일 메시지를 사용했다.주말 동안 [7]6번의 공격이 이어졌다.2007년 1월 22일 현재 Storm Worm은 전 [8]세계 말웨어 감염의 8%를 차지하고 있습니다.

PCWorld에 따르면, 스톰 웜이 러시아에서 유래했다는 증거가 있으며, 아마도 러시아 비즈니스 [9]네트워크로 추적될 수 있다.

행동 방식

원래 유럽의 폭풍우 키릴에 관한 메시지로 전파된 스톰 웜은 다음과 같은 [10]제목의 이메일에서도 볼 수 있습니다.

"테스트 중에 감염된 기계가 5분 동안 거의 1,800건의 이메일을 보내는 것을 보았고, 그 후 바로 멈췄습니다."

–Amado Hidalgo, a researcher with Symantec's security response group.[11]

  • 230명이 숨졌습니다.[이 메시지 제목 때문에 지렁이는 '스톰'으로 불렸습니다]
  • 11살에 살인자, 21살에 풀려났다가 다시 살인을 해!
  • 미 국무 장관 콘돌리자 라이스 미 국무 장관은 독일의 앙겔라 메르켈 총리는 시작되고 있습니다.
  • 영국 이슬람 교도들 집단 학살
  • 벌거벗은 십대들 집 감독을 공격한다.
  • Re:당신의 텍스트
  • 급진 무슬림 마시는 적들의 피이다.
  • Chinese/Russian 미사일 Russian/Chinese satellite/aircraft다.
  • 사담 후세인과 안전하게!
  • 사담 후세인이 살아 있다고!
  • 베네수엘라 지도자:"전쟁 시작하자".
  • 피델 카스트로가 죽은.
  • 나는 속임수였다 만약
  • FBI과 페이스북
  • 미국 이란을 차지하고 있

언제 압류가 열린 맬웨어와, 패킷에의 운항 노선이 자체 내에서 인코딩된에 통과는 적재물을 삽입합니다는 wincom32 서비스를 설치합니다.씨만텍사에 따르면, 그것은 또한 뛰고 트로이 다운로드될 수 있습니다.Abwiz.F trojan고, W32.Mixor.Q@mm [10]스팸 상의 트로이 목마 피기백은 "postcard.exe" 및 "Flash Palcap.exe" 등의 이름을 가지며 공격이 [11]변화함에 따라 원래 웨이브보다 더 많이 변경됩니다.첨부 파일에 대해 알려진 이름 중 일부는 다음과 같습니다.[10]

  • 엽서.실행
  • ecard.exe
  • FullVideo.exe
  • 풀스토리.exe
  • Video.exe
  • More.exe 읽기
  • 풀클립실행
  • 그리팅 포스트 카드실행
  • 자세한 것은 이쪽.실행
  • 플래시 포스트 카드실행
  • GreetingCard.exe
  • [Herexe
  • ReadMore.exe
  • 플래시 포스트 카드실행
  • 풀뉴스실행
  • Nfl Stat Tracker.실행
  • 아케이드 월드.exe
  • 아케이드 월드 게임실행

나중에 F-Secure가 확인했듯이, 악성코드는 "러브버드"와 "터치 바이 러브"와 같은 대상을 퍼트리기 시작했다.이러한 전자 메일에는 바이러스가 포함된 것으로 확인된 다음 파일 중 일부를 호스팅하는 웹 사이트에 대한 링크가 포함되어 있습니다.

  • with_love.exe
  • love.exe와 함께
  • love.exe
  • 나한테서 너에게로.실행
  • 아이하트유실행
  • fck2008.exe
  • fck2009.exe

SecureWorks의 말웨어 리서치 디렉터인 Joe Stewart에 따르면 Storm은 놀라울 정도로 회복력을 유지하고 있습니다.이는 부분적으로 Storm이 시스템을 감염시키기 위해 사용하는 트로이목마가 10분마다 패킹 코드를 변경하고, 설치되면 이 빠른 플럭스를 사용하여 [12]명령 및 제어 서버의 IP 주소를 변경하기 때문입니다.

봇넷팅

주요 기사:스톰봇넷

손상된 머신은 봇넷에 병합됩니다.대부분의 봇넷은 중앙 서버를 통해 제어되지만, 봇넷을 파괴하기 위해 다운될 수 있는 경우 Storm Worm은 중앙 집중식 [7]제어 없이 피어 투 피어 네트워크와 유사한 방식으로 동작하는 봇넷을 시드합니다.각 손상된 머신은 전체 봇넷의 서브셋 목록에 연결됩니다. 즉, 호스트 역할을 하는 다른 손상된 머신은 약 30~35개입니다.감염된 각 호스트는 다른 감염된 호스트의 목록을 공유하지만 봇넷 전체의 전체 목록을 가진 머신은 없습니다.각 머신에는 서브셋만 있기 때문에 좀비 네트워크[7]실제 범위를 측정하기가 어렵습니다.2007년 9월 7일, Storm 봇넷의 사이즈는 100만 대에서 1000만 대까지 [13]추정되고 있습니다.만하임 대학과 인스티튜트 유레콤의 연구원들은 동시 온라인 폭풍 노드를 5,000에서 40,[14]000 사이로 추정했다.

루트킷

Storm Worm이 실행하는 또 다른 액션은 루트킷 Win32.agent.[7]dh를 설치하는 것입니다.Symantec은 결함이 있는 루트킷 코드가 Storm Worm 작성자의 계획 중 일부를 무효화한다고 지적했다.2007년 7월 경부터 시작된 이후 버전에서는 tcpip 등의 기존 Windows 드라이버에 패치를 적용하여 루트킷 컴포넌트를 로드했습니다.sys 및 cdrom.Windows 드라이버 리스트에 [15]엔트리를 포함하지 않고 루트킷드라이버 모듈을 로드하는 코드 스텁을 가진 sys.

만우절

2008년 4월 1일, 만우절을 주제로 [citation needed]한 제목과 함께 새로운 폭풍 웜이 인터넷에 공개되었다.

피드백

Storm Worm을 검출할 수 있는 안티바이러스 기업 목록에는 Authentium, BitDefender, ClamAV, eSafe, Eset, F-Prot, F-Secure, Kaspersky, McAfee, Sophos, Symantec, Trend Micro, Avast![16]Windows Live OneCare가 있습니다.Storm Worm은 안티바이러스 검출을 회피하기 위해 작성자에 의해 지속적으로 갱신되고 있습니다.따라서 위의 모든 벤더가 Storm Worm의 변종을 검출할 수 있는 것은 아닙니다.침입검출시스템은 윈도 프로세스 "services.exe"가 포트 4000 [11]또는7871을 사용하여 인터넷에 접속하려고 하는 것을 경고하기 위해 루트킷으로부터 어느 정도 보호를 제공합니다.Windows 2000, Windows XP 및 Windows Vista는 모든 Storm Worm 변종에서 감염될 수 있지만, Windows Server 2003은 악성 프로그램의 작성자가 해당 버전의 Windows를 [11]코드에서 제외했기 때문에 감염되지 않습니다.또한 일부 변형에 대한 복호화 계층에는 Windows XP Service Pack 2 이상에서만 사용할 수 있는 Windows API 기능이 필요하므로 이전 버전의 Windows에서 감염을 효과적으로 방지할 수 있습니다.

Peter Gutmann은 Storm 봇넷이 누구의 견적에 따라 100만 대에서 1000만 대의 PC로 구성된다는 내용의 이메일을[17] 보냈습니다.Gutmann 박사는 TOP500에서 Storm 봇넷과 분산 메모리 및 분산 공유 메모리 고성능 컴퓨터 간의 하드웨어 리소스 비교를 수행했지만 정확한 성능 일치는 의도한 것이 아니라 다른 대규모 컴퓨팅 리소스에 비해 봇넷의 크기를 더 일반적으로 인식한 것입니다.를 들어 World Community Grid와 같은 그리드 컴퓨팅 프로젝트와 비교하여 Storm 봇넷의 크기를 고려해 보십시오.

2007년 10월 21일자 PCWorld 기사에 따르면 네트워크 보안 분석가가 2007년 10월 20일 샌디에이고에서 열린 Toorcon 해커 회의에서 Storm이 약 20,000개의 액티브호스트 또는 이전 크기의 10분의 1로 감소했다고 합니다.그러나 보안 연구원인 Bruce Schneier[19]이 문제에 대해 논쟁하고 있습니다.그는 네트워크가 독립적으로 부품을 매각하기 위해 분할되고 있다고 지적하고 있습니다.

메모들

  1. ^ Шуб, Александр. "Штормовой червь" атакует Интернет (in Russian). Retrieved 2007-01-20.
  2. ^ Prince, Brian (January 26, 2007). "'Storm Worm' Continues to Spread Around Globe". FOXNews.com. Retrieved 2007-01-27.
  3. ^ a b c "F-Secure Trojan Information Pages: Small.DAM". Retrieved 2007-01-25.
  4. ^ Symantec에 따르면 트로이 목마로 검출되었다고 합니다.포장.8LiveUpdate 정의에서도 트로이 목마로 식별되었습니다.피콤
  5. ^ ""Storm worm" sloshes through the internet". 2007-01-19. Retrieved 2007-01-20.
  6. ^ "Storm chaos prompts virus surge". BBC News. 19 January 2007. Retrieved 2007-01-19.
  7. ^ a b c d Espiner, Tom (22 January 2007). "'Storm Worm' slithers on". ZDNet. Retrieved 2007-01-22.
  8. ^ Keizer, Gregg (January 22, 2007). "'Storm' Spam Surges, Infections Climb". InformationWeek. Retrieved 2007-01-22.
  9. ^ '인터넷의 공공의 적 넘버원' - PCWorld
  10. ^ a b c Suenaga, Masaki (January 22, 2007). "Trojan.Peacomm". Archived from the original on 29 June 2019. Retrieved 2007-01-22.
  11. ^ a b c d Keizer, Gregg (January 23, 2007). "'Storm' Trojan Hits 1.6 Million PCs; Vista May Be Vulnerable". InformationWeek. Retrieved 2021-10-06.
  12. ^ Robert Vamosi (August 7, 2008). "Storm Worm". CNET.com.
  13. ^ Peter Gutmann (31 August 2007). "World's most powerful supercomputer goes online". Full Disclosure. Retrieved 2007-08-31.
  14. ^ Kelly Jackson Higgins (23 April 2008). "Researchers Infiltrate and 'Pollute' Storm Botnet". Darkreading.com. Retrieved 2008-04-24.
  15. ^ SophosLabs (28 July 2007). "Patching system files: Part II". Sophos. Retrieved 2010-12-05.
  16. ^ SANS Institute Internet Storm Center 최고기술책임자(CTO) 요하네스 Ulrich의 블로그 엔트리
  17. ^ "Peter Gutmann Email".
  18. ^ "Storm Worm Now Just a Squall".
  19. ^ "Schneier on Security: The Storm Worm".

외부 링크