오늘 접수된 새로운 론다 웜은 자신의 블로그로 접속하게 한다.

- 샘플코드 : EC07072600074-000001
- MD5 : cb0a07279af5c7f4d13f6c3e56a46587
- 파일길이 : 184441
- V3 진단명 : Win32/Ronda.worm (2007.07.27.00 이후 엔진)

접수된 파일이름은 co방어기.exe 였다.
아마도 카페 등에 게임 관련 유틸리티로 올리게 아닐까 싶다.

악성코드는 SVKP 로 압축되어 있으며 이 패커는 디버거나 모니터링 프로그램이 있으면 실행되지 않는다. 따라서, 분석하기 좀 까다롭다.

실행되면 특정 주소 (http://****.ze.to) 사이트로 접속을 시도한다.

2007년 7월 26일 오후 6시 12분 현재 오늘만 311명이 접속했다.
총 16025 명 접속.

글은 달랑 1개 올라와있기 때문에 악성코드에 감염된 사용자 수가 아닐까 싶다.

사용자 삽입 이미지

자신의 블로그로 접속을 시도하는 론다 웜 변형


[증상]

- C:\boot.ini 파일을 변경해 안전모드(Safe Mode)로 부팅

c:\boot.ini 의 부팅 관련 설정을 변경해 (/safeboot:minimal 추가) 무조건 안전모드로 부팅되게 함

- 윈도우 9X, 윈도우 XP 에 맞게 작성되어 윈도우 2000에서는 에러 발생

아마도 내부 버그로 보이는데 파일을 찾을 수 없다는 에러가 발생함

다음과 같은 문자열을 포함하고 있다.
"Ronda VIrus - Error _ 404"
"Don't mess with me..., You want to die,.."

[복구방법]

1. 백신으로 진단 치료 혹은 실행된 악성코드를 찾아 삭제

등록되는 레지스트리 키값

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows = 실행된 파일명

2. boot.ini 에 등록된 /safeboot:minimal 삭제

boot.ini 에서 /safeboot:minimal 을 제거해야지 안전모드로 부팅되지 않는다. 하지만, boot.ini 파일은 히든 속성을 가지고 있어 수정하기 힘들다.

1) 도스창(명령프롬프트, cmd.exe)을 연다.
2) ATTRIB -R -H -S -A C:\BOOT.INI 입력
3) BOOT.INI 수정
4) 재부팅
Posted by mstoned7

댓글을 달아 주세요

  1. 2007.08.03 17:38  댓글주소  수정/삭제  댓글쓰기

    으ㅡㅡ 프루나에서 받다가날라갔다는


2007년 7월 18일 저작권 협회 사칭 악성코드 내용이 기사화되었다.

[관련기사]

- 소프트웨어저작권 사칭 악성 바이러스 유포 (이델일리)
http://www.edaily.co.kr/news/stock/newsRead.asp?sub_cd=DB41&newsid=02043446583195832&clkcode=00203&DirCode=0030503&curtype=read

- 저작권 협회 사칭하는 신종 바이러스 등장
http://www.segye.com/Service5/ShellView.asp?SiteID=&OrgTreeID=3118&TreeID=1051&PCode=0070&DataID=200707181043001157


www.spc.or.kr 에 접속하면 주의 공지가 떴다.

사용자 삽입 이미지

SPC에 접속했을 때 볼 수 있는 공지





- V3 진단명 : Win-Trojan/Xema.45568.B (2007.07.10.02 이후)
- 파일길이 : 45,568 바이트
- MD5 : 9838406911e0d20e367e92ac9a89b95a

V3 에 추가된건 2007년 7월 10일 이후 엔진이라 8일이나 지난 지금 기사화되어서 과연 동일 샘플인지 새로운 변형인지는 확실하지 않다.


* Virus Total 검사결과 (2007년 7월 18일 15시 15분 현재)

Antivirus Version Last Update Result
---------------------------------------------------------
AhnLab-V3 2007.7.18.0 2007.07.18 Win-Trojan/Xema.45568.B
AntiVir 7.4.0.42 2007.07.17 TR/Agent.45568.6
Authentium 4.93.8 2007.07.18 no virus found
Avast 4.7.997.0 2007.07.17 no virus found
AVG 7.5.0.476 2007.07.17 Generic5.IJU
BitDefender 7.2 2007.07.17 Generic.Malware.SN!!hid.E1027B44
CAT-QuickHeal 9.00 2007.07.17 (Suspicious) - DNAScan
ClamAV devel-20070416 2007.07.18 no virus found
DrWeb 4.33 2007.07.18 WIN.SCRIPT.Virus
eSafe 7.0.15.0 2007.07.17 suspicious Trojan/Worm
eTrust-Vet 30.8.3790 2007.07.17 no virus found
Ewido 4.0 2007.07.17 no virus found
FileAdvisor 1 2007.07.18 no virus found
Fortinet 2.91.0.0 2007.07.18 W32/Gen!worm.p2p
F-Prot 4.3.2.48 2007.07.17 no virus found
F-Secure 6.70.13030.0 2007.07.17 P2P-Worm.Win32.gen
Ikarus T3.1.1.8 2007.07.18 Win32.SuspectCrc
Kaspersky 4.0.2.24 2007.07.18 P2P-Worm.Win32.gen
McAfee 5076 2007.07.17 W32/Generic.worm!p2p
Microsoft 1.2704 2007.07.17 no virus found
NOD32v2 2404 2007.07.17 probably unknown NewHeur_PE virus
Norman 5.80.02 2007.07.17 no virus found
Panda 9.0.0.4 2007.07.17 Suspicious file
Sophos 4.19.0 2007.07.17 no virus found
Sunbelt 2.2.907.0 2007.07.18 VIPRE.Suspicious
Symantec 10 2007.07.18 Bloodhound.W32.5
TheHacker 6.1.7.148 2007.07.16 W32/gen
VBA32 3.12.2 2007.07.17 no virus found
VirusBuster 4.3.23:9 2007.07.17 no virus found
Webwasher-Gateway 6.0.1 2007.07.17 Trojan.Agent.45568.6


Posted by mstoned7

댓글을 달아 주세요