> 뉴스 > 테크가이드 > 보안
  • 트위터
  • 페이스북
  • 구플러스
  • 네이버밴드
  • 카카오스토리
     
님다(Win32/Nimda), 그 후 1년...
2002년 09월 23일 00:00:00 정진성 안철수연구소 ASEC
2001년 9월 18일, 다른 날과 달리 걸려오는 상담 전화마다 *.eml 파일 갑자기 생겨나고 있다는 다급한 문의였다. 출근 시간대인 오전 9시에서 10시경에 시작된 문의 전화는 이 기이한 현상으로 폭주하였고, 하나같이 네트워크 트래픽 증가와 함께 계속적으로 생성되는 *.eml, *.nws 파일들로 인하여 수많은 파일서버와 클라이언트 시스템 등이 마비되고 있다는 것이었다.

당시 확산을 방지하기 위한 유일한 대책이 네트워크 케이블을 뽑아버리는 것이었을 만큼 대단한 위력을 과시한 이 웜은 아직도 수많은 시스템을 감염시키고 있는 Win32/Nimda이다.

◐ Win32/Nimda의 전파경로

Win32/Nimda가 이렇게 빠르고, 대량으로 전파될 수 있는 요인 중 하나가 Win32/Nimda가 가지고 있는 다양한 전파방법과 메일을 읽기만 해도 첨부된 웜이 자동으로 실행되는 아웃룩, 아웃룩 익스프레스의 취약점에 있다. 전파방법은 크게 다음과 같으며, 하나씩 알아보기로 하자.

- *.exe 파일을 감염
- 네트워크를 이용하여 확산
- 메일을 통한 전파
- IIS 의 취약점을 이용한 전파

1. *.exe 파일을 감염

Win32/Nimda는 내부에 정의된 특정 레지스트리 값의 응용 프로그램들의 실행파일을 감염시키도록 되어 있다. 감염대상에는 네트워크 드라이브 내 실행파일도 포함된다. 이렇게 감염된 파일을 실행할 경우도 Win32/Nimda를 메일로 받아 감염되는 것과 같은 현상이 발생한다. 그러나 실제로 *.exe 파일에 감염된 경우는 그렇게 많지는 않았다. 아마도 실행파일 감염루틴이 제대로 동작하지 않았던 것으로 보인다.

2. 네트워크를 이용한 확산

Win32/Nimda가 빠르게 확산될 수 있었던 가장 큰 이유는 바로 네트워크로 확산되었기 때문이다. Win32/Nimda는 '내 문서(My Documents)' 폴더나 또는 로컬 드라이브 내 파일들에서 파일명을 가져와 *.eml, *.nws 파일을 로컬 드라이브 내 폴더와 네트워크에 연결되어 읽기, 쓰기 가능한 곳이라면 이런 파일을 무수히 생성해 낸다. 또한 C 드라이브부터 Z 드라이브까지 모두 읽기/쓰기 공유상태로 설정해 버린다. 따라서 '내 문서' 폴더나 로컬 드라이브 내에 있는 파일명으로 *.eml, *.nws가 네트워크 드라이브에 생성되어 있다면, 누구라도 한번쯤은 클릭해 보고픈 생각이 들 것이다.

이렇게 생성된 *.eml, *.nws 역시 Incorrect MIME Header Can Cause IE to Execute E-mail Attachment 취약점을 가지고 있어 탐색기 등에서(또는 웹 페이지 형식으로 보기가 활성화 된 경우) 클릭만 해도 첨부된 파일이 자동으로 다운로드되어 실행된다.

* 이 취약점은 MIME 헤더에 있는 IFRAME 트릭을 이용한 것으로 메일에 첨부된 파일이 자동으로 다운로드되어 실행되는 것을 말한다.

3. 메일을 통한 전파

Win32/Nimda를 메일로 받은 경우 메일 클라이언트 프로그램인 아웃룩과 아웃룩 익스프레스가 보안패치가(IE 5.x는 SP2 이상) 안되었거나 최신버전(IE 6.0)이 아니라면 Incorrect MIME Header Can Cause IE to Execute E-mail Attachment 취약점에 의해 웜이 자동으로 로컬 드라이브에 다운로드 및 실행되어 Win32/Nimda에 감염된다.



* 취약점을 패치한 시스템은 어떻게 될까?

당연한 이야기겠지만 패치 파일이 설치된 아웃룩, 아웃룩 익스프레스 또는 최신버전의 IE (아웃룩 익스프레스도 같이 업데이트 됨)라면 메일에 첨부된 파일이 자동으로 다운로드되지 않고 실행되지도 않는다.

* 패치는 어떻게 받아야 하나?

손쉬운 방법으로는 인터넷 익스플로러(IE) 실행후 도구 -> Windows Update를 선택하거나 윈도우 업데이트 사이트를 방문한 다음 제품 업데이트를 선택하여 안내되는 메시지에 따른다. 단계별로 따라 하면 되므로 초보자도 쉽게 자신의 윈도우 및 MS 제품군을 최신버전으로 업데이트 할 수 있다.



자세한 윈도우즈 패치 방법은 여기를 참조하십시오.


* 패치여부는 어떻게 확인이 가능한가?

인터넷 익스플로러(IE) 실행후 도움말 -> Internet Explorer 정보 ->를 클릭후 화면에 표시된 버전과 업데이트 버전을 확인한다.





전파대상은 임시 인터넷 파일 폴더 및 로컬 드라이브 내에 존재하는 *.htm, *.html에서 메일 주소를 가져오며, MAPI 기능을 이용하여 MS 익스체인지 메일함을 읽어 메일주소를 가져올 수도 있다. 메일제목은 없거나 랜덤하다.

전파방법은 가져온 메일주소에 대한 SMTP 서버 유무를 확인한 후 SMTP 주소를 사용할 수 있다면 이 주소를 통하여 웜이 첨부된 메일을 발송하게된다. 즉 하나가 아닌 여러 개의 SMTP 주소를 이용하여 발송되므로 급속히 대량전파가 가능하다.

ⓒ 데이터넷(http://www.datanet.co.kr) 무단전재 및 재배포금지 | 저작권문의  

     

인기기사

 
가장 많이 본 기사
인사·동정·부음
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
사명: (주)화산미디어 | 주소: 서울시 강남구 강남대로 124길 26 유성빌딩 2층 | 전화: 070-8282-6180 | 팩스: 02-3446-6170
등록번호: 서울아03408 | 등록년월일: 2014년 11월 4일 | 발행년월일: 2003년 12월 17일 | 사업자등록번호: 211-88-24920
발행인/편집인: 정용달 | 통신판매업신고: 서울강남-01549호 | 개인정보관리 및 청소년보호 책임자: 박하석 | 호스팅 사업자: (주)아이네임즈
Copyright 2010 데이터넷. All rights reserved. mail to webmaster@datanet.co.kr