웜이란?

웜의 등장

* 웜(Worm)은 인터넷 또는 네트워크를 통해서 컴퓨터에서 컴퓨터로 전파되는 프로그램을 의미

* 1999년 다른 사람의 이메일 주소를 수집하고 스스로 전달되는 형태의 인터넷 웜이 출현하면서 일반인에게 웜이라는 용어가 알려지기 시작

* 이메일에 첨부 파일 형태로 첨부되어 확산되거나, 운영체제나 프로그램의 보안 취약점을 이용하여 스스로 침투하는 것이 일반적

* 현재는 mIRC 채팅 프로그램, P2P 파일 공유 프로그램, 이메일 관련 스크립트 기능, 네트워크 공유 기능 등의 허점을 이용하여 확산하고 증식하는 경우도 있어 피해와 부작용의 범위/크기가 계속 커지고 있음.

MASS Mailer형 웜

* MASS Mailer형 웜은 자기 자신을 포함하는 대량 메일 발송을 통해 확산

* 최근 발생한 웜 중 약 40%가 MASS Mailer 형에 해당.

* 제목이 없거나 특정 제목으로 전송되는 메일을 읽었을 때 감염 

* 치료하지 않으면 시스템에 계속 기생하면서 시스템 내부에서 메일 주소를 수집해 계속 메일을 보냄.

* MASS Mailer형 웜의 주요 증상

- 메일로 전파. 감염된 시스템이 많으면 SMTP 서버(TCP 25번 포트)의 네트워크 트래픽이 증가

- 베이글은 웜 파일을 실행할 때 ‘Can't find a viewer associated with the file’과 같은 가짜 오류 메시지를 출력

- 넷스카이는 윈도우 시스템 디렉터리 밑에 CSRSS.exe를 만듦.

- 변형된 종류에 따라 시스템에 임의의 파일을 생성

- 확인되지 않은 메일을 열어볼 때 확산됨.

시스템 공격형 웜

* 운영체제 고유의 취약점을 이용해 내부 정보를 파괴하거나, 컴퓨터를 사용할 수 없는 상태로 만들거나, 혹은 외부의 공격자가 시스템 내부에 접속할 수 있도록 백도어를 설치하는 웜

* 시스템 공격형 웜의 주요증상

 - 전파할 때 과다한 TCP/135,445 트래픽이 발생

 - windows, windows/system32, winnt, winnt/system32 폴더에 SVCHOST.EXE 등의 파일을 설치

 - 공격 성공 후 UDP/5599 등의 특정 포트를 열어 외부 시스템과 통신

 - 시스템 파일 삭제, 정보 유출(게임CD 시리얼 키 등)이 가능

 - 시스템 공격형 웜의 종류로는 아고봇(Agobot), 블래스터(Blaster.worm), 웰치아(Welchia) 등이 있음.

네트워크 공격형 웜

* 특정 네트워크나 시스템에 대해 Syn Flooding, Smurf와 같은 서비스 거부(DoS) 공격을 수행

* 네트워크 공격형 웜은 분산 서비스 거부(DDOS) 공격을 위한 봇(Bot)과 같은 형태로 발전하고 있음.

* 네트워크 공격형 웜의 주요 증상

   - 네트워크가 마비되거나, 급속도로 느려짐. 

   - 네트워크 장비가 비정상적으로 동작

   - 네트워크 공격형 웜의 종류로는 져봇(Zerbo), 클레즈(Klez) 등이 있음.

백도어와 트로이 목마

* 백도어(Backdoor)의 원래 의미는 운영체제나 프로그램을 생성할 때 정상적인 인증 과정을 거치지 않고, 운영체제나 프로그램 등에 접근할 수 있도록 만든 일종의 통로 

* 다른 말로 Administrative hook이나 트랩 도어(Trap Door)라고도 함.

* 트로이 목마는 사용자가 의도하지 않은 코드를 정상적인 프로그램에 삽입한 형태

[출처] 웜이란?|작성자 Zealous