바이러스/악성코드 정보 - [웜] W32/IRCBot-ADD

[웜] W32/IRCBot-ADD

2008.11.26 09:30:21

573

이름 : W32/IRCBot-ADD
다른 이름 : Backdoor:Win32/Rbot.gen
구분 : 바이러스/스파이웨어
종류 : 웜
전파방법 :
(1) 이동가능한 저장매체
(2) 네트워크 공유
영향받는 운영체제 : 윈도우
영향 : 레지스트리에 자신을 설치한다.

W32/IRCBot-ADD는 윈도우 기반 웜이다.

W32/IRCBot-ADD는 네트워크 공유와 이동가능한 드라이브에 자신을 복사함으로서 전파된다.

W32/IRCBot-ADD는 이동가능한 저장매체의 아래 위치에 자신을 복사한다.

\RECYCLER\<user folder>\recycle.exe

위의 경로에서 모든 파일과 폴더 경로는 숨김 속성과 읽기 속성으로 설정되어 있다. W32/IRCBot-ADD는 드라이브의 루트 폴더에서 (여기도 역시 숨김 속성과 읽기 속성으로 설정되어 있다. ) autorun.inf 파일을 생성하여 드라이브가 도르되면 recycle.exe를 동작시킨다.

W32/IRCBot-ADD가 설치되면 아래의 파일들이 생성된다.

<System>\spoolvs.exe
<System>\<random1>.dll
<System>\wauclt.exe
<System>\<random2>.dll
<Windows>\Tasks\<random3>.job
<Temp>\<random4>.bat
<User>\Cookies\user@wmvmedialease[?].txt

<random1>, <random2>, <random3>, <random4>의 위치에는 무작위로 생성된 문자열이 들어간다.

아래의 레지스트리는 spoolvs.exe와 wauclt.exe를 동작시키기 위해 아래의 레지스트리가 생성된다.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Windows Service Agent
spoolvs.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Windows Service Agent
spoolvs.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Generic Host
wauclt.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows Service Agent
spoolvs.exe

<random1>.dll은 COM 객체와 shell 확장자로 등록되며 아래의 레지스트리가 생성된다.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
HKCR\CLSID\{8369650D-536C-4B75-BA0B-8286E86EDA0A}

<random1>.dll에 의해 삽입된 코드를 동작시키기 위해 아래의 레지스트리가 생성된다.

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\<random1>
DllName
<random1>.dll

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\<random1>
Impersonate
0

예정된 작업명 <random3>은 rundll32<random2>.dll을 동작시키기 위해 매일 자정에 명령이 실행된다.

<System>\rundll32.exe % "<System>\<random2>.dll", d

아래의 레지스트리가 설정되면 인터넷 포안에 영향을 미친다.

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
{A8A88C49-5EB2-4990-A1A2-0876022C854F}
<BINARY>

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
{AEBA21FA-782A-4A90-978D-B72164C80120}
<BINARY>

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
1A10
0

W32/IRCBot-ADD는 텍스트 형태로 메시지 박스를 보여준다.

Windows Microsoft Viewer
Picture can not be displayed.

이 게시물을..