WaledacÀº 2008³â ¸»ºÎÅÍ ÁÖ·Î »çȸÀû À̽´¸¦ ÀÌ¿ëÇÑ »çȸ°øÇÐ ±â¹ý(»ç¶÷ÀÇ ½É¸®¸¦ ÀÌ¿ëÇÏ´Â)À¸·Î ¹èÆ÷ÇÏ°í ½ÇÇàÀ» À¯µµÇϰųª ´Ù¸¥ ÇÁ·Î±×·¥ µîÀ¸·Î À§ÀåÇÏ¿© ¹èÆ÷¸¦ ÇÏ°í ÀÖÀ¸¸ç Áö±Ýµµ °è¼Ó ¹èÆ÷ÇÏ°í ÀÖ´Ù. Å©¸®½º¸¶½º, ¹Ì±¹ ´ëÅë·É¼±°Å, Å×·¯ ´º½º, ¹ë·±Å¸Àε¥ÀÌ ¹× ÃÖ±Ù¿¡´Â ŸÀÎÀÇ SMS(¹®ÀÚ¸Þ½ÃÁö)¸¦ ÈÉÃÄ º¼ ¼ö ÀÖ´Ù´Â ÇÁ·Î±×·¥À¸·Î À§ÀåÇß´Ù.
¿Ü±¹ À¯¸í ¾ð·Ð»ç¸¦ »çĪÇÏ¿© Å×·¯´º½º¸¦ °¡ÀåÇÑ ÆäÀÌÁö¿¡ Geo IP¸¦ »ç¿ëÇÏ¿© ÀÚ½ÅÀÌ À§Ä¡ÇÑ Áö¿ªÀÇ À̸§À» ºÙ¿©¼ »ç¿ëÀÚ ÁÖº¯¿¡¼ Å×·¯°¡ ¹ß»ýÇÑ °Íó·³ º¸ÀÌ°Ô ÇÏ´Â ³ë·Â(?)À» º¸À̱⵵ Çß´Ù.
´ÙÇàÈ÷ ¹èÆ÷µÇ´Â µµ¸ÞÀÎÀº Áö¼ÓÀûÀ¸·Î ISP¿¡¼ Â÷´ÜÇÏ°í ÀÖÁö¸¸ »õ·Î¿î ¹èÆ÷ µµ¸ÞÀÎÀº Â÷´Ü±îÁöÀÇ Å¸À̹ÖÀÌ ÀÖÀ¸¹Ç·Î ÁÖÀÇÇØ¾ß ÇÑ´Ù.
¾Ç¼ºÄÚµå´Â ¸î °¡Áö ExceptionÀ» ¹ß»ý½ÃÅ°´Â ¹æ¹ýÀ¸·Î ÀÚ½ÅÀ» º¸È£ÇÏ°í ÀÖÀ¸¸ç, ±× ¿¹´Â ±×¸² 2¿Í °°´Ù.
¸¶Áö¸·À¸·Î ¸¹ÀÌ ¾Ë·ÁÁø UPX·Î ÇÑ ¹ø ´õ ½ÇÇà¾ÐÃà µÇ¾îÀÖ´Ù.
WaledacÀÇ ÁÖ ¿ªÇÒÀº ¾Ç¼ºbotÀ¸·Î ¿ø°Ý ¼¹ö¿¡ Á¢¼ÓÇÏ¿© °ø°ÝÀÚÀÇ ¸í·É¿¡ µû¶ó ÇൿÇÏ°í °¨¿°µÈ PC¿¡¼ ¼öÁýÇÑ E-mailÁÖ¼Ò¿¡ ½ºÆÔ ¸ÞÀÏÀ» ¹ß¼ÛÇÑ´Ù. ¶Ç Dos°ø°ÝÀ» ÇÒ ¼ö ÀÖÀ¸¸ç ³×Æ®¿öÅ©¸¦ °¨½ÃÇÏ°í ÀÖ´Ù°¡ ÀÎÁõ(Authorization)ÀÌ ¼º°øÇÏ´Â ID¿Í ºñ¹Ð¹øÈ£¸¦ ÀúÀåÇÑ´Ù.
¨ç e-mail ¼öÁý
°¨¿° PC¿¡¼ e¸ÞÀÏ ÁÖ¼Ò ¼öÁýÀ» À§ÇØ µð½ºÅ©(Çϵåµð½ºÅ©¿Í À̵¿½Äµð½ºÅ©)ÀÇ ¸ðµç ÆÄÀÏÀ» ´ë»óÀ¸·Î ³»ºÎ¿¡ @°¡ Æ÷ÇÔµÈ ¹®ÀÚ¿À» ã´Â´Ù. ÀÌ·¸°Ô ¼öÁýµÈ e¸ÞÀÏ ÁÖ¼Ò´Â °ø°ÝÀÚ°¡ ½ºÆÔ ¸ÞÀÏ ¹ß¼Û¿¡ ÀÌ¿ëÇÑ´Ù. avi, mov, wmv, mp3, wave, wav, wma, ogg, vob, jpg, jpeg, gif, bmp, exe, dll, ocx, class, msi, zip, 7z, rar, hwx, hxh, hxn, hxd µîÀÇ È®ÀåÀÚ¸¦ °¡Áø ÆÄÀÏÀº ã´Â ´ë»ó¿¡¼ Á¦¿ÜÇÑ´Ù.
¨è ÀÚµ¿½ÇÇàÀ» À§ÇÑ ·¹Áö½ºÆ®¸® »ý¼º
ÀçºÎÆà µÉ ¶§ ÀÚµ¿À¸·Î ½ÇÇàµÇ°Ô Çϱâ À§ÇØ ·¹Áö½ºÆ®¸®¸¦ »ý¼ºÇÑ´Ù.
¶Ç ÀÚ½ÅÀÌ »ç¿ëÇÒ µ¥ÀÌÅ͸¦ ¾Ë¾Æ º¼ ¼ö ¾ø°Ô ¾ÏÈ£È ÇÏ¿© ÀúÀåÇÑ´Ù.
WaledacÀÌ »ý¼ºÇÏ´Â ·¹Áö½ºÆ®¸®´Â ´ÙÀ½°ú °°´Ù.
¨é SniffingÀ» ÅëÇÑ °³ÀÎÁ¤º¸ À¯Ãâ
³×Æ®¿öÅ© °¨½Ã¸¦ À§ÇØ wpcap.dll¿¡¼ ÇÊ¿äÇÑ ÇÔ¼ö¸¦ ºÒ·¯¿À¸ç »ç¿ëµÇ´Â ÇÔ¼ö´Â ±×¸² 3°ú °°´Ù. ³×Æ®¿öÅ© °¨½Ã Áß ÆÐŶ¿¡¼ USER, PASS, CONNECT, Authorization, Basic, AUTH PLAIN µî°ú °°Àº ¹®ÀÚ¿À» °¨½ÃÇÏ°í ÀÖ´Ù°¡ ¼öÁýÇÑ´Ù. ¼öÁýÇÑ ÆÐŶÀº ¡°protocol://USER:
PASS@IPAddr:Port¿Í °°Àº Çü½ÄÀ¸·Î ÀúÀåµÈ´Ù.
¨ê Bot¼¹ö¿¡ Á¢¼Ó°ú ¾Ç¼ºBotÀ¸·Î È°µ¿
ÀÏÁ¤ÇÑ ÁÖ±â·Î ´Ù¼öÀÇ IP¿¡ Á¢¼ÓÀ» ½ÃµµÇÑ´Ù. ¾Æ·¡¿Í °°ÀÌ 200 ¿©°³ÀÇ ÁÖ¼Ò¿¡ Á¢¼ÓÀ» ½ÃµµÇÑ´Ù.
°ø°ÝÀÚ ¼¹ö¿ÍÀÇ Åë½ÅÀº BASE64¿Í AES¾Ë°í¸®ÁòÀ» »ç¿ëÇÏ¿© ¾ÏȣȵǾî ÀÌ·ç¾îÁø´Ù.
¿ø°Ý ¼¹ö¿¡ Á¢¼ÓµÇ¸é °ø°ÝÀÚ´Â ¾Æ·¡ÀÇ ¸í·É¾î¸¦ ¼öÇàÇÒ ¼ö ÀÖ´Ù. ¸í·É¾î´Â XMLÇü½ÄÀ̸ç lmÀ¸·Î ½ÃÀÛÇÑ´Ù.
¸í·É¾î¸¦ È®ÀÎÇغ¸¸é ½ºÆÔ ¸ÞÀϹ߼۰ú, dos°ø°Ý, ´Ù¸¥ ¾Ç¼ºÄڵ带 ´Ù¿î·Îµå ÇÏ´Â °ÍÀ» ¾Ë ¼ö ÀÖ´Ù. °ø°ÝÀÚ°¡ ³»¸± ¼ö ÀÖ´Â ÁÖ¿ä ¸í·É¾î´Â ¾Æ·¡¿Í °°´Ù.
ŽÁö ¹× Á¦°Å
½ÇÇàµÇ¸é ÀÚ½ÅÀ» º¸È£ÇÏ¿© Ä¡·á°¡ ¾î·Á¿î ¾Ç¼ºÄÚµå´Â ¾Æ´ÏÁö¸¸ ¹é±×¶ó¿îµå·Î ÀÛµ¿Çϱ⠶§¹®¿¡ ÀÏ¹Ý »ç¿ëÀÚÀÇ °æ¿ì ¹é½ÅÀ¸·Î °Ë»ç¸¦ Çϰųª SysinternalsÀÇ Autoruns¿Í °°Àº ÇÁ·Î±×·¥À¸·Î È®ÀÎÇÏÁö ¾ÊÀ¸¸é °¨¿° ¿©ºÎ¸¦ ÆÇ´ÜÇϱâ´Â ½±Áö ¾Ê´Ù.
WaledacÀº ±âÁ¸ Storm-worm(¶Ç´Â Zhelatin, peecomm)°ú ºñ½ÁÇÑ ¹æ¹ýÀ» »ç¿ëÇÏ°í ÇൿÇÑ´Ù. Waledac¿¡ °¨¿°µÉ °æ¿ì °ø°ÝÀÚÀÇ Á»ºñ(Bot)°¡ µÇ¾î °¨¿° PC¿¡ ÀúÀåµÇ¾î ÀÖ´ø E¸ÞÀÏ ÁÖ¼Ò¿¡ ´ë·®ÀÇ ½ºÆè¸ÞÀÏÀ» ¹ß¼ÛÇϰųª ¿ø°ÝÁö¿¡ ¼ºñ½º °ÅºÎ °ø°Ý(dos)À» ÇÑ´Ù. ¹°·Ð À§¿Í °°Àº ÀÏÀÌ ÀϾµµ °¨¿°PCÀÇ ÀÏ¹Ý »ç¿ëÀÚ´Â ÀÎÅͳÝÀÌ Æò¼Òº¸´Ù ´À·ÁÁ³³ª ÇÏ´Â Á¤µµ ¹Û¿¡´Â ¾Ë±â Èûµé´Ù.
ÀÌ¿Í °°ÀÌ »çȸÀû À̽´¸¦ ¾Ç¿ëÇÏ´Â ¾Ç¼ºÄÚµå´Â Áõ°¡ ÇÒ °ÍÀ¸·Î »ç¿ëÀÚ ½º½º·Î ÁÖÀÇÇØ¾ß ÇÏ¸ç »ç¿ëÀÚ´Â ÀÎÅͳݿ¡¼ ´Ù¿î·ÎµåÇÑ ÆÄÀÏ(ƯÈ÷ Å©·¢ÆÄÀÏ ÁÖÀÇ)°ú E¸ÞÀÏÀÇ Ã·ºÎÆÄÀÏÀº ¹ø°Å·Î¿öµµ ¹«Á¶°Ç ¹é½ÅÀ¸·Î °Ë»ç¸¦ ÇÏ°í ½ÇÇàÇØ¾ß ÇÑ´Ù.
»ç¿ëÀÚµéÀÇ ³ë·ÂÀ¸·Î ¾Ç¼ºÄÚµå ÇÇÇØ ÁÙÀÏ ¼ö ÀÖ¾î
ÀÎÅͳݿ¡¼ »ç¿ëÇÏ´Â °èÁ¤Àº ´ç¿¬È÷ ID¿Í Æнº¿öµå¸¦ ¸ðµÎ °°°Ô Çؼµµ ¾È µÇ¸ç PC¹æ°ú °°ÀÌ ¿©·¯ »ç¶÷ÀÌ °ø¿ëÀ¸·Î »ç¿ëÇÏ´Â PC¿¡¼´Â E-¸ÞÀÏ È®ÀÎÀ̳ª ƯÁ¤ »çÀÌÆ® ·Î±×ÀÎµî °³ÀÎÀÇ Á¤º¸°¡ ´ã±ä ÀÛ¾÷Àº ÃÖ´ëÇÑ ÇÇÇØ¾ß ÇÑ´Ù.
¶ÇÇÑ Ãâó°¡ ºÐ¸íÇÏÁö ¾ÊÀº ¸ÞÀÏÀ̳ª À̽´°¡ µÇ´Â Å°¿öµå °Ë»ö °á°ú´Â Ç×»ó Á¶½ÉÇØ¾ß ÇÑ´Ù. ¹é½Å ÇÁ·Î±×·¥ÀÇ ¼³Ä¡¿Í ½Ç½Ã°£ °¨½Ã¸¦ Äѵδ °Íµµ Áß¿äÇÏ´Ù.
»õ·Î¿î ¾Ç¼ºÄڵ峪 ¾Ç¼ºÄÚµå¿Í °ü·ÃÇÑ ¹®Á¦Á¡Àº ¾ðÁ¦µç ¾Ë¾àÀÇ ¡®½Å°íÇϱ⡯ ±â´ÉÀ» ÀÌ¿ëÇÏ¸é µÇ¸ç °¡Àå ¸¹Àº ÀÏ¹Ý »ç¿ëÀÚ PC¿¡ ¼³Ä¡µÇ¾î ÀÖÀ¸¹Ç·Î BotÀ̳ª Worm °°ÀÌ ³×Æ®¿öÅ©¸¦ ÀÌ¿ëÇÏ´Â ¾Ç¼ºÄÚµåÀÇ ÇÇÇظ¦ ÁÙÀ̴µ¥ ¸ðµÎ°¡ µµ¿òÀ» ÁÖ°í¹ÞÀ» ¼ö ÀÖ´Ù.
<±Û : ½É±â¹ü À̽ºÆ®¼ÒÇÁÆ® ¾ËÅøÁî»ç¾÷º»ºÎ DBºÐ¼®ÆÀ ´ë¸®(skb1@estsoft.com)>
[¿ù°£ Á¤º¸º¸È£21c Åë±Ç Á¦106È£ (info@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>