만우절 바이러스 조심하세요 --;;(Worm.Win32.Conficker.173318)

콘피커(confiker) 웜 바이러스가 오늘 활동을 하는 날입니다 --;;
꼭 읽어 주십시오.

개요
- 이 콘피커 웜이라는 놈은 아주 번식력(?)이 높은 악질 바이러스 입니다 --;;
(아래서 부터 하우리에서 퍼온 행동 분석 내용입니다)
- 실행되면 다음 레지스트리 항목이 있는지 확인하고 없는 경우 이를 생성합니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\"dl" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\"dl" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\"ds" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Applets\"ds" = "0"

- 감염된 후에 다음과 같은 위치에 랜덤한 파일이름으로 자가복제를 합니다.
\프로그램 파일 폴더\Internet Explorer\[랜덤한이름].dll
\프로그램 파일 폴더\Movie Maker\[랜덤한이름].dll
\윈도우즈 시스템 폴더\[랜덤한이름].dll
\Temp\[랜덤한이름].dll
C:\Documents and Settings\All Users\Application Data \[랜덤한이름].dll

- 다음 레지스트리 항목을 생성하여 서비스로 등록합니다.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[랜덤서비스이름]\Parameters\"ServiceDll" = "[웜파일 경로]"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[랜덤서비스이름]\"ImagePath" = \윈도우즈 시스템 폴더\svchost.exe -k netsvcs
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[랜덤서비스이름]\"Type" = "4"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[랜덤서비스이름]\"Start" = "4"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\[랜덤서비스이름]\"ErrorControl" = "4"

- [랜덤서비스이름]은 아래의 목록에 있는 단어 2개를 조합한 것입니다.
Boot
Center
Config
Driver
Helper
Image
Installer
Manager
Microsoft
Monitor
Network
Security
Server
Shell
Support
System
Task
Time
Universal
Update
Windows

- 다음 레지스트리 항목을 생성하여 Windows가 시작할 때마다 자신을 실행합니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[랜덤한이름]" = "rundll32.exe" "[랜덤한파일이름].dll", [랜덤한값]"

- 사용자가 생성한 시스템 복원 지점을 삭제합니다.

- 감염된 시스템의 Windows Vista TCP/IP 자동 튜닝 기능을 실행 중지함으로써 네트워크 액세스 속도를 높이는 명령을 실행하여 더욱 빠르게 확산됩니다.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\"TcpNumConnections" = "00FFFFFE"

- 악성코드는 다음 Windows 서비스를 모두 중지시킵니다.
Background Intelligent Transfer Service (BITS)
Windows Automatic Update Service (wuauserv)

- tcpip.sys 파일을 수정하여 TCP/IP 프로토콜의 half-open connections 기능을 제한합니다
\윈도우즈 시스템 폴더\drivers\tcpip.sys

- 다음 레지스트리 값을 수정하여 탐색기에서 자신을 보이지 않게 합니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue" = "0"

- 공유폴더에 의한 전파시에는 ADMIN$ 네트워크 공유를 이용하여, 미리 열거해둔 취약한 암호들을  사용하여 연결을 시도합니다.
000
0000
00000
0000000
00000000
0987654321
111
1111
11111
111111
1111111
11111111
123
123123
12321
123321
1234
12345
123456
1234567
12345678
123456789
1234567890
1234abcd
1234qwer
123abc
123asd
123qwe
1q2w3e
222
2222
22222
222222
2222222
22222222
321
333
3333
33333
333333
3333333
33333333
4321
444
4444
44444
444444
4444444
44444444
54321
555
5555
55555
555555
5555555
55555555
654321
666
6666
66666
666666
6666666
66666666
7654321
777
7777
77777
777777
7777777
77777777
87654321
888
8888
88888
888888
8888888
88888888
987654321
999
9999
99999
999999
9999999
99999999
a1b2c3
aaa
aaaa
aaaaa
abc123
academia
access
account
Admin
admin
admin1
admin12
admin123
adminadmin
administrator
anything
asddsa
asdfgh
asdsa
asdzxc
backup
boss123
business
campus
changeme
cluster
codename
codeword
coffee
computer
controller
cookie
customer
database
default
desktop
domain
example
exchange
explorer
file
files
foo
foobar
foofoo
forever
freedom
fuck
games
home
home123
ihavenopass
Internet
internet
intranet
job
killer
letitbe
letmein
login
Login
lotus
love123
manager
market
money
monitor
mypass
mypassword
mypc123
nimda
nobody
nopass
nopassword
nothing
office
oracle
owner
pass
pass1
pass12
pass123
passwd
password
Password
password1
password12
password123
private
public
pw123
q1w2e3
qazwsx
qazwsxedc
qqq
qqqq
qqqqq
qwe123
qweasd
qweasdzxc
qweewq
qwerty
qwewq
root
root123
rootroot
sample
secret
secure
security
server
shadow
share
sql
student
super
superuser
supervisor
system
temp
temp123
temporary
temptemp
test
test123
testtest
unknown
web
windows
work
work123
xxx
xxxx
xxxxx
zxccxz
zxcvb
zxcvbn
zxcxz
zzz
zzzz
zzzzz

- 네트워크 공유폴더 연결에 성공할 경우 자신을 전파하며, 자신을 실행시키기 위해, 최초 감염 시스템과 동일한 절차를 수행합니다.

- 감염된 시스템의 IP 주소를 가져오기 위해 다음과 같은 URL에 접속을 합니다.
http://www.getmyip.org
http://www.whatsmyipaddress.com
http://getmyip.co.uk
http://checkip.dyndns.org

- 감염된 시스템의 임의의 포트를 오픈하고, HTTP서버를 구축합니다. 그리고 또 다른 원격시스템으로 감염된 시스템의 URL을 전송하고, 취약점이 있는 시스템인지 확인될 경우, 해당 URL에서 웜을 다운로드 하여 확산하게 됩니다.

- 다음과 같은 API 를 후킹하여, 특정 문자열이 들어간 웹사이트에 접근하지 못하게 합니다.
DNS_Query_A
DNS_Query_UTF8
DNS_Query_W
Query_Main
sendto

- 접근을 막기위한 사이트들의 특정 문자열
ahnlab
arcabit
avast
avg.
avira
avp.
bit9.
ca.
castlecops
centralcommand
cert.
clamav
comodo
computerassociates
cpsecure
defender
drweb
emsisoft
esafe
eset
etrust
ewido
f-prot
f-secure
fortinet
gdata
grisoft
hacksoft
hauri
ikarus
jotti
k7computing
kaspersky
malware
mcafee
microsoft
nai.
networkassociates
nod32
norman
norton
panda
pctools
prevx
quickheal
rising
rootkit
sans.
securecomputing
sophos
spamhaus
spyware
sunbelt
symantec
threatexpert
trendmicro
vet.
virus
wilderssecurity
windowsupdate

굳이 요약하자면
포트를 활짝~ 열어서 크래커들의 밥이 되게 하고 윈도우 업데이트를 막아서 보안에 취약하게 만들어 버리고 공유폴더 암호 풀어서 웜 돌리고 돌리고 돌리고 사용자들 정신을 뱅뱅 돌리는 당신은 악질 바이러스!

대응법
- 시스템 복원 지점을 몽땅~ 삭제해 주시는 놈이므로 시스템 복원이 안됩니다.
- 가능하면 안전모드로 부팅해서 백신을 돌려야 합니다.
- 만약에 대비해 고스트 또는 아크로니스로 이미지를 떠서 보관하는것도 좋은 방법입니다.
- 4월 1일은 바이러스가 활동하는 날이므로 하루 전에 날짜를 올려두십시오.
- 공유 폴더는 되도록이면 암호를 바이러스가 깨지 못하게 길고 특수문자를 섞어서 암호를 걸어두시면 좋습니다.