Win32/Bugbear.B
다른 이름
W32/Bugbear.b@MM, W32.Bugbear.B@mm
감염시 위험도
4등급(대비)
확산 위험도
2등급
현재 확산도
3등급
종류
웜
감염 형태
실행파일
감염 OS
윈도우
감염 경로
메일/보안취약성
최초발견일
2003-06-05
국내발견일
2003-06-05
특정활동일
특정일 활동 없음
제작국
불분명
진단 가능 엔진
2003.06.05.01
치료 가능 엔진
2003.06.05.01
※ 표기된 날짜 이후의 엔진으로 진단 및 치료가 가능합니다.
증상
- 특정한 실행파일들을 감염 시킨다. - 1080 포트가 오픈되어 악의적인 사용자가 접근할 수도 있다. - 웜이 첨부된 메일을 발송한다. - 키로거를 생성하여 키로그값을 저장한다.
내용
Win32/Bugbear.B (가칭)는 기존에 알려진 Win32/Bugbear.worm.50688 와 매우 유사하다. 정보를 작성하는 현재 외국에서 다수의 보고가 있었으며 안철수연구소도 정보를 작성하는 현재 다수의 샘플과 감염내용을 접수 받았다. 기존과 다른점은 내부에 하드코딩된 특정한 윈도우 실행파일과 특정 응용 프로그램 실행파일들을 감염 시킨다.
실행되면 윈도우 시작 프로그램 폴더에 자신을 복사하고 윈도우 시스템 폴더에 키로거 파일을 생성한다. 그리고 키로그 파일과 해당 시스템에서 수집된 정보를 암호화 하여 윈도우 폴더, 윈도우 시스템 폴더에 저장한다. 메일발송은 몇몇 확장자의 파일에 대하여 메일주소를 수집하고 레지스트리 값에 지정된 SMTP 주소를 이용하여 웜이 첨부된 메일을 발송한다. 또한 하드코딩된 특정한 실행파일들에 대하여 감염을 시키며 TCP 1080 포트를 오픈해두는데 이럴 경우 악의적인 사용자가 접근할 수도 있다.
- 전파되는 메일형식
메일제목 : 다음중에서 선택되어진다.
- Hello! - update - hmm.. - Payment notices - Just a reminder - Correction of errors - history screen - Announcement - various - Introduction - Interesting... - I need help about script!!! - Stats - Please Help... - Report - Membership Confirmation - Get a FREE gift! - Today Only - New Contests - Lost & Found - bad news - wow! - fantastic - click on this! - Market Update Report - empty account - My eBay ads - Cows - 25 merchants and rising - CALL FOR INFORMATION! - new reading - Sponsors needed - SCAM alert!!! - Warning! - its easy - free shipping! - News - Daily Email Reminder - Tools For Your Online Business - New bonus in your cash account - Your Gift - Re: - $150 FREE Bonus! - Your News Alert - Hi! - Get 8 FREE issues - no risk! - Greets!
본문 : 본문은 존재하지 않지만 경우에 따라 받은 편지함에 답장하는 형태로도 받을 수 있다.
첨부파일명 : 첨부파일은 감염된 시스템의 '내 문서' 폴더에 존재하는 파일명을 가져와 다음과 같은 확장자를 추가 한다.
- *.pif - *.exe - *.scr
예) 보고서.doc.scr
또한 다음의 파일에서도 첨부파일명은 결정될 수도 있다.
- data - song - music - video - photo - resume - pics - images - image - news - Docs - Card - Setup - readme
예) Card.pif
첨부파일은 크기는 72,192 바이트이며 비주얼 C++ 로 작성 되었다. 실행파일 압축프로그램으로 실행압축된 형태에 암호화 되어있다. 압축을 해제 했을때 크기는 약170KB 정도이다. 파일의 크기는 72,192 바이트로 동일하지만 내부코드는 랜덤하다. 이는 매번 다르게 암호화 되기 때문이다.
- 실행후 증상
첨부된 파일을 실행하면 영문 4자리의 랜덤한 파일명을 가진 자신을 시작 프로그램 폴더에 복사한다.
- 윈도우 9x -> C:\WINDOWS\All Users\시작 메뉴\프로그램\시작프로그램 - 윈도우 NT 계열 -> C:\Documents and Settings\All Users\Start Menu\Programs\Startup
그리고 윈도우 폴더와 (일반적으로 c:\windows, c:\winnt) 윈도우 시스템 폴더 (일반적으로 c:\windows\system, c:\winnt\system32) 에 암호화된 정보와 키보드 값이 저장된 키로그 파일과 키로거를 생성한다. 키로거는 파일명은 랜덤한 7자리의 영문 파일명이며 크기는 5,632 바이트이다. 다음과 같은 Mutex 를 생성하여 자신이 중복실행되지 않게한다.
"e메일 제목 'Re:' 열지 마세요"…바이러스 '버그베어.B' 확산
해커가 PC로부터 패스워드나 신용카드번호와 같은 중요정보를 빼낼 수 있게 하는 ‘버그베어(BugBear).B’라는 신종 컴퓨터 바이러스가 인터넷상에서 확산되고 있다고 AP통신이 뉴욕발로 전했다.
이 바이러스는 한국에서도 발견되고 있으며 백신을 다운받아 진단 및 치료가 가능하다.
‘버그베어.B’ 바이러스는 작년 9월 말 발견된 ‘버그베어’ 바이러스의 변종으로 감염된 PC에 ‘숨겨진 파일’을 설치하며 해커들은 이를 통해 PC에 접근해 파일들을 지우거나 프로그램을 실행할 수 있게 된다.
이 바이러스에 감염된 e메일의 제목은 ‘Hello!’ ‘News’ ‘Re:’ 등 다양하며 내용도 다양하다고 안철수연구소(ahnlab.com)는 공개했다.
이 바이러스는 최근 빠르게 확산되고 있는 e메일 바이러스 ‘소빅(Sobig).B’와 ‘소빅(Sobig).C’에 비해 피해범위가 넓고 확산속도도 빠르다고 이 통신은 보도했다.
미국의 e메일 필터링 서비스 회사인 메시지랩스는 4일 ‘버그베어.B’ 바이러스를 처음 확인한 뒤 하루 만에 125개국에서 3만7400개를 발견하고 이를 봉쇄했다고 밝혔했다.
e메일로 보내진 바이러스 하나가 기업 네트워크에 들어가면 내부에서 확산된다.
뉴욕=홍권희특파원 konihong@donga.com
Win32/Bugbear.B
다른 이름
W32/Bugbear.b@MM, W32.Bugbear.B@mm
감염시 위험도
4등급(대비) 
확산 위험도
2등급
현재 확산도
3등급
종류
웜
감염 형태
실행파일
감염 OS
윈도우
감염 경로
메일/보안취약성
최초발견일
2003-06-05
국내발견일
2003-06-05
특정활동일
특정일 활동 없음
제작국
불분명
진단 가능 엔진
2003.06.05.01
치료 가능 엔진
2003.06.05.01
※ 표기된 날짜 이후의 엔진으로 진단 및 치료가 가능합니다.
증상
- 특정한 실행파일들을 감염 시킨다.
- 1080 포트가 오픈되어 악의적인 사용자가 접근할 수도 있다.
- 웜이 첨부된 메일을 발송한다.
- 키로거를 생성하여 키로그값을 저장한다. 내용 Win32/Bugbear.B (가칭)는 기존에 알려진 Win32/Bugbear.worm.50688 와 매우 유사하다. 정보를 작성하는 현재 외국에서 다수의 보고가 있었으며 안철수연구소도 정보를 작성하는 현재 다수의 샘플과 감염내용을 접수 받았다. 기존과 다른점은 내부에 하드코딩된 특정한 윈도우 실행파일과 특정 응용 프로그램 실행파일들을 감염 시킨다.
실행되면 윈도우 시작 프로그램 폴더에 자신을 복사하고 윈도우 시스템 폴더에 키로거 파일을 생성한다. 그리고 키로그 파일과 해당 시스템에서 수집된 정보를 암호화 하여 윈도우 폴더, 윈도우 시스템 폴더에 저장한다. 메일발송은 몇몇 확장자의 파일에 대하여 메일주소를 수집하고 레지스트리 값에 지정된 SMTP 주소를 이용하여 웜이 첨부된 메일을 발송한다. 또한 하드코딩된 특정한 실행파일들에 대하여 감염을 시키며 TCP 1080 포트를 오픈해두는데 이럴 경우 악의적인 사용자가 접근할 수도 있다.
- 전파되는 메일형식
메일제목 : 다음중에서 선택되어진다.
- Hello!
- update
- hmm..
- Payment notices
- Just a reminder
- Correction of errors
- history screen
- Announcement
- various
- Introduction
- Interesting...
- I need help about script!!!
- Stats
- Please Help...
- Report
- Membership Confirmation
- Get a FREE gift!
- Today Only
- New Contests
- Lost & Found
- bad news
- wow!
- fantastic
- click on this!
- Market Update Report
- empty account
- My eBay ads
- Cows
- 25 merchants and rising
- CALL FOR INFORMATION!
- new reading
- Sponsors needed
- SCAM alert!!!
- Warning!
- its easy
- free shipping!
- News
- Daily Email Reminder
- Tools For Your Online Business
- New bonus in your cash account
- Your Gift
- Re:
- $150 FREE Bonus!
- Your News Alert
- Hi!
- Get 8 FREE issues - no risk!
- Greets!
본문 : 본문은 존재하지 않지만 경우에 따라 받은 편지함에 답장하는 형태로도 받을 수 있다.
첨부파일명 : 첨부파일은 감염된 시스템의 '내 문서' 폴더에 존재하는 파일명을 가져와 다음과 같은 확장자를 추가 한다.
- *.pif
- *.exe
- *.scr
예) 보고서.doc.scr
또한 다음의 파일에서도 첨부파일명은 결정될 수도 있다.
- data
- song
- music
- video
- photo
- resume
- pics
- images
- image
- news
- Docs
- Card
- Setup
- readme
예) Card.pif
첨부파일은 크기는 72,192 바이트이며 비주얼 C++ 로 작성 되었다. 실행파일 압축프로그램으로 실행압축된 형태에 암호화 되어있다. 압축을 해제 했을때 크기는 약170KB 정도이다. 파일의 크기는 72,192 바이트로 동일하지만 내부코드는 랜덤하다. 이는 매번 다르게 암호화 되기 때문이다.
- 실행후 증상
첨부된 파일을 실행하면 영문 4자리의 랜덤한 파일명을 가진 자신을 시작 프로그램 폴더에 복사한다.
- 윈도우 9x -> C:\WINDOWS\All Users\시작 메뉴\프로그램\시작프로그램
- 윈도우 NT 계열 -> C:\Documents and Settings\All Users\Start Menu\Programs\Startup
그리고 윈도우 폴더와 (일반적으로 c:\windows, c:\winnt) 윈도우 시스템 폴더 (일반적으로 c:\windows\system, c:\winnt\system32) 에 암호화된 정보와 키보드 값이 저장된 키로그 파일과 키로거를 생성한다. 키로거는 파일명은 랜덤한 7자리의 영문 파일명이며 크기는 5,632 바이트이다. 다음과 같은 Mutex 를 생성하여 자신이 중복실행되지 않게한다.
- w32shamur
- 전파대상 및 전파방법
로컬 드라이브에 존재하는 다음과 같은 확장자를 가진 파일에서 메일주소를 얻어온다.
- *.ODS
- INBOX
- *.MMF
- *.NCH
- *.MBX
- *.EML
- *.TBB
- *.DBX
메일주소를 얻어오면 감염된 시스템의 레지스트리 값에 설정된 SMTP 주소를 이용하여 메일을 발송한다.
- 백도어 증상
또한 TCP 1080 포트를 오픈해두어 해당 포트로 악의적인 사용자가 접근할 수도 있다.
- 네트워크 전파 증상
네트워크 모든 공유자원 검색하여 읽기/쓰기가 가능한 '시작 프로그램' 폴더를 만나면 자신을 복사하거나 아래 '실행파일 감염증상'부분에 나열된 파일에 대하여 읽기/쓰기가 가능하다면 감염시킨다.
- 실행파일 감염증상
다음과 같은 파일들에 대해서만 감염을 시킨다. 감염된 파일은 72,192 바이트 증가한다. 감염된 파일은 UPX0, UPX1, UPX2 와 같은 섹션명을 가지는 데이블을 생성하며 파일은 감염될때마다 그 코드를 달리하는 다형성 바이러스이다.
* 윈도우 폴더
- scandskw.exe
- regedit.exe
- mplayer.exe
- hh.exe
- notepad.exe
- winhelp.exe
* 프로그램 파일폴더
- Internet Explorer\iexplore.exe
- adobe\acrobat 5.0\reader\acrord32.exe
- WinRAR\WinRAR.exe
- Windows Media Player\mplayer2.exe
- Real\RealPlayer\realplay.exe
- Outlook Express\msimn.exe
- Far\Far.exe
- CuteFTP\cutftp32.exe
- Adobe\Acrobat 4.0\Reader\AcroRd32.exe
- ACDSee32\ACDSee32.exe
- MSN Messenger\msnmsgr.exe
- WS_FTP\WS_FTP95.exe
- QuickTime\QuickTimePlayer.exe
- StreamCast\Morpheus\Morpheus.exe
- Zone Labs\ZoneAlarm\ZoneAlarm.exe
- Trillian\Trillian.exe
- Lavasoft\Ad-aware 6\Ad-aware.exe
- AIM95\aim.exe
- Winamp\winamp.exe
- DAP\DAP.exe
- ICQ\Icq.exe
- kazaa\kazaa.exe
- winzip\winzip32.exe
- 그외 증상
다음과 같은 프로세스가 실행중이라면 강제로 종료한다. 대부분 백신 및 보안 관련 응용 프로그램의 프로세스이다.
ZONEALARM.EXE PAVCL.EXE IAMAPP.EXE
WFINDV32.EXE PADMIN.EXE FRW.EXE
WEBSCANX.EXE OUTPOST.EXE FPROT.EXE
VSSTAT.EXE NVC95.EXE FP-WIN.EXE
VSHWIN32.EXE NUPGRADE.EXE FINDVIRU.EXE
VSECOMR.EXE NORMIST.EXE F-STOPW.EXE
VSCAN40.EXE NMAIN.EXE F-PROT95.EXE
VETTRAY.EXE NISUM.EXE F-PROT.EXE
VET95.EXE NAVWNT.EXE F-AGNT95.EXE
TDS2-NT.EXE NAVW32.EXE ESPWATCH.EXE
TDS2-98.EXE NAVNT.EXE ESAFE.EXE
TCA.EXE NAVLU32.EXE ECENGINE.EXE
TBSCAN.EXE NAVAPW32.EXE DVP95_0.EXE
SWEEP95.EXE N32SCANW.EXE DVP95.EXE
SPHINX.EXE MPFTRAY.EXE CLEANER3.EXE
SMC.EXE MOOLIVE.EXE CLEANER.EXE
SERV95.EXE LUALL.EXE CLAW95CF.EXE
SCRSCAN.EXE LOOKOUT.EXE CLAW95.EXE
SCANPM.EXE LOCKDOWN2000.EXE CFINET32.EXE
SCAN95.EXE JEDI.EXE CFINET.EXE
SCAN32.EXE IOMON98.EXE CFIAUDIT.EXE
SAFEWEB.EXE IFACE.EXE CFIADMIN.EXE
RESCUE.EXE ICSUPPNT.EXE BLACKICE.EXE
RAV7WIN.EXE ICSUPP95.EXE BLACKD.EXE
RAV7.EXE ICMON.EXE AVWUPD32.EXE
PERSFW.EXE ICLOADNT.EXE AVWIN95.EXE
PCFWALLICON.EXE ICLOAD95.EXE AVSCHED32.EXE
PCCWIN98.EXE IBMAVSP.EXE AVPUPD.EXE
PAVW.EXE IBMASN.EXE AVPTC32.EXE
PAVSCHED.EXE IAMSERV.EXE AVPM.EXE
AVPDOS32.EXE AVGCTRL.EXE ACKWIN32.EXE
AVPCC.EXE AVE32.EXE _AVPM.EXE
AVP32.EXE AVCONSOL.EXE _AVPCC.EXE
AVP.EXE AUTODOWN.EXE _AVP32.EXE
AVNT.EXE APVXDWIN.EXE
AVKSERV.EXE ANTI-TROJAN.EXE
이 정보는 2003년 06월 05일 18시 08분에 최초작성 되었으며 2003년 06월 05일 21시 43분에 최종 수정 되었다. 치료방법 1. 먼저 실행중인 응용 프로그램은 종료하거나 작업은 저장하도록 한다.
2. V3를 최신엔진으로 업데이트 한다.
3. V3를 실행후 검사할 드라이브를 지정하고 검사를 시작한다.
3-1. 프로세스에서 실행중인 파일들이 감염된채로 실행중이라면 '강제종료후 치료'를 선택 한다. (예를 들어 Win32/Bugbear.B 의 본체가 실행중인 경우나, 실행파일에 감염된채로 프로세스에서 실행중인 파일들을 진단할때) 자동으로 강제종료되고 파일도 삭제된다.(자동삭제는 V3Pro2002 Deluxe 만 해당)
4. 프로세스 검사가 끝나고 지정한 드라이브 검사도 끝나면 치료목록창이 나온다. 여기서 진단된 파일을 모두 치료 및 삭제 한다. (감염된 파일은 치료될 수 있으며 바이러스 본체와 키로거는 삭제해야한다.)'전체목록치료'를 누르면 된다.