|
TCP/1027 포트부터 "LISTENING" 상태로 오픈하고, 랜덤하게 선택된 IP의 TCP/445번 포트로
접속을 시도하기 시작하여, MS04-011의 LSASS 취약점이 존재하는 시스템을 발견하면, 감염
동작을 수행하는데 이 과정에서 cmd.ftp라는 이름으로 FTP 스크립트를 만드는데, 이 스크립트는
감염 대상 시스템이 웜을 다운로드 받고 수행할 수 있는 명령어를 포함하고 있다. 이 과정에서
리모트 Shell 포트 TCP/9996 를 이용한다.
*참고 사항 :
* LSASS(Local security Authority Subsystem Service) 취약점 : Microsoft Security Bulletin
MS04-011
- 취약점 정보(한글)
- 취약점 정보(영문)
[감염 후 증상]
1.웜에 감염되면 TCP/1068 및 FTP 서버로 이용 될 TCP/5554 포트가 오픈된다, 그리고 감염시
사용 할 shell 포트 TCP/9996번도 오픈된다.
2.C:\에 win.log라는 이름으로 로그 파일을 생성하는데, 이 로그 파일은 IP 주소를 포함하고 있다.
3.윈도우 시스템 폴더에 xxx_up.exe 파일을 생성시키는데, 여기서 xxx는 임의적인 숫자이다.
예) 1234_up.exe
4567_up.exe
4.일부 시스템에서는 정상적으로 감염되지 않고, 다음 타이틀과 같은 오류만 발생 시키면서 시스템
이 재 부팅되기도 한다.
타이틀 : LSA Shell(Export Version)
5.감염되고 일정한 시간이 지나면 CPU 점유율이 100%가 되어 시스템 사용이 어렵게 되는 증상을
보이기도 하며, 웜이 감염을 시도하는 과정에서 과도한 트래픽을 유발하여 내부 네트워크의
트래픽이 증가하여 네트워크가 중단 될 수도 있다.
6.재 부팅시 웜이 다시 실행되도록 하기 위해서 아래의 레지스트리에 등록된다.
- HKEY_LOCAL_MACHINE\
SOFTWARE\
Microsoft\
Windows\
CurrentVersion\
Run
이 름 : avserve.exe
데이터 : (윈도우 폴더)\avserve.exe
Version 1 : 오후 3:18 2004-05-01 (GMT+9)
분석 보고서 1차 버전 내용이 완성되었다
Version 2 : 오후 5:36 2004-05-01 (GMT+9)
분석 보고서 2차 버전 내용이 완성되었다
|