당시 확산을 방지하기 위한 유일한 대책이 네트워크 케이블을 뽑아버리는 것이었을 만큼 대단한 위력을 과시한 이 웜은 아직도 수많은 시스템을 감염시키고 있는 Win32/Nimda이다.
◐ Win32/Nimda의 전파경로
Win32/Nimda가 이렇게 빠르고, 대량으로 전파될 수 있는 요인 중 하나가 Win32/Nimda가 가지고 있는 다양한 전파방법과 메일을 읽기만 해도 첨부된 웜이 자동으로 실행되는 아웃룩, 아웃룩 익스프레스의 취약점에 있다. 전파방법은 크게 다음과 같으며, 하나씩 알아보기로 하자.
- *.exe 파일을 감염
- 네트워크를 이용하여 확산
- 메일을 통한 전파
- IIS 의 취약점을 이용한 전파
1. *.exe 파일을 감염
Win32/Nimda는 내부에 정의된 특정 레지스트리 값의 응용 프로그램들의 실행파일을 감염시키도록 되어 있다. 감염대상에는 네트워크 드라이브 내 실행파일도 포함된다. 이렇게 감염된 파일을 실행할 경우도 Win32/Nimda를 메일로 받아 감염되는 것과 같은 현상이 발생한다. 그러나 실제로 *.exe 파일에 감염된 경우는 그렇게 많지는 않았다. 아마도 실행파일 감염루틴이 제대로 동작하지 않았던 것으로 보인다.
2. 네트워크를 이용한 확산
Win32/Nimda가 빠르게 확산될 수 있었던 가장 큰 이유는 바로 네트워크로 확산되었기 때문이다. Win32/Nimda는 '내 문서(My Documents)' 폴더나 또는 로컬 드라이브 내 파일들에서 파일명을 가져와 *.eml, *.nws 파일을 로컬 드라이브 내 폴더와 네트워크에 연결되어 읽기, 쓰기 가능한 곳이라면 이런 파일을 무수히 생성해 낸다. 또한 C 드라이브부터 Z 드라이브까지 모두 읽기/쓰기 공유상태로 설정해 버린다. 따라서 '내 문서' 폴더나 로컬 드라이브 내에 있는 파일명으로 *.eml, *.nws가 네트워크 드라이브에 생성되어 있다면, 누구라도 한번쯤은 클릭해 보고픈 생각이 들 것이다.
이렇게 생성된 *.eml, *.nws 역시 Incorrect MIME Header Can Cause IE to Execute E-mail Attachment 취약점을 가지고 있어 탐색기 등에서(또는 웹 페이지 형식으로 보기가 활성화 된 경우) 클릭만 해도 첨부된 파일이 자동으로 다운로드되어 실행된다.
* 이 취약점은 MIME 헤더에 있는 IFRAME 트릭을 이용한 것으로 메일에 첨부된 파일이 자동으로 다운로드되어 실행되는 것을 말한다.
3. 메일을 통한 전파
Win32/Nimda를 메일로 받은 경우 메일 클라이언트 프로그램인 아웃룩과 아웃룩 익스프레스가 보안패치가(IE 5.x는 SP2 이상) 안되었거나 최신버전(IE 6.0)이 아니라면 Incorrect MIME Header Can Cause IE to Execute E-mail Attachment 취약점에 의해 웜이 자동으로 로컬 드라이브에 다운로드 및 실행되어 Win32/Nimda에 감염된다.
전파대상은 임시 인터넷 파일 폴더 및 로컬 드라이브 내에 존재하는 *.htm, *.html에서 메일 주소를 가져오며, MAPI 기능을 이용하여 MS 익스체인지 메일함을 읽어 메일주소를 가져올 수도 있다. 메일제목은 없거나 랜덤하다.
전파방법은 가져온 메일주소에 대한 SMTP 서버 유무를 확인한 후 SMTP 주소를 사용할 수 있다면 이 주소를 통하여 웜이 첨부된 메일을 발송하게된다. 즉 하나가 아닌 여러 개의 SMTP 주소를 이용하여 발송되므로 급속히 대량전파가 가능하다.
