자신의 블로그에 접속하는 론다 웜 변형

오늘 접수된 새로운 론다 웜은 자신의 블로그로 접속하게 한다.

- 샘플코드 : EC07072600074-000001
- MD5 : cb0a07279af5c7f4d13f6c3e56a46587
- 파일길이 : 184441
- V3 진단명 : Win32/Ronda.worm (2007.07.27.00 이후 엔진)

접수된 파일이름은 co방어기.exe 였다.
아마도 카페 등에 게임 관련 유틸리티로 올리게 아닐까 싶다.

악성코드는 SVKP 로 압축되어 있으며 이 패커는 디버거나 모니터링 프로그램이 있으면 실행되지 않는다. 따라서, 분석하기 좀 까다롭다.

실행되면 특정 주소 (http://****.ze.to) 사이트로 접속을 시도한다.

2007년 7월 26일 오후 6시 12분 현재 오늘만 311명이 접속했다.
총 16025 명 접속.

글은 달랑 1개 올라와있기 때문에 악성코드에 감염된 사용자 수가 아닐까 싶다.

자신의 블로그로 접속을 시도하는 론다 웜 변형

[증상]

- C:\boot.ini 파일을 변경해 안전모드(Safe Mode)로 부팅

c:\boot.ini 의 부팅 관련 설정을 변경해 (/safeboot:minimal 추가) 무조건 안전모드로 부팅되게 함

- 윈도우 9X, 윈도우 XP 에 맞게 작성되어 윈도우 2000에서는 에러 발생

아마도 내부 버그로 보이는데 파일을 찾을 수 없다는 에러가 발생함

다음과 같은 문자열을 포함하고 있다.
"Ronda VIrus - Error _ 404"
"Don't mess with me..., You want to die,.."

[복구방법]

1. 백신으로 진단 치료 혹은 실행된 악성코드를 찾아 삭제

등록되는 레지스트리 키값

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows = 실행된 파일명

2. boot.ini 에 등록된 /safeboot:minimal 삭제

boot.ini 에서 /safeboot:minimal 을 제거해야지 안전모드로 부팅되지 않는다. 하지만, boot.ini 파일은 히든 속성을 가지고 있어 수정하기 힘들다.

1) 도스창(명령프롬프트, cmd.exe)을 연다.
2) ATTRIB -R -H -S -A C:\BOOT.INI 입력
3) BOOT.INI 수정
4) 재부팅