Storm Worm

상위 항목 : 악성코드

Trojan-Downloader.Win32.Small.dam

2007년 핀란드의 F-Secure가 발견한 마이크로소프트Windows운영체제를 타겟으로 한 트로이 목마 형태의 백도어다.

1 개요

스톰 웜은 2007년도에 유럽과 미국에서 수천 대의 개인용 컴퓨터를 감염시키고 난 후에 발견되었다. 감염 경로는 이메일. 2007년도 당시 발견되었을 때 전세계 악성코드 감염의 8%를 차지할 정도로 광범위하게 퍼졌었다. 기술 관련 잡지 PCWorld는 러시아에서 만든 거라고 의혹을 제기했다.

  • A killer at 11, he's free at 21 and kill again! (11살에 살인을 저지르고 21살에 출소한뒤 다시 살인을 했다!)
  • 230 dead as storm batters Europe. (유럽에 폭풍이 발생해 230명이 사망했다)
  • Fidel Castro dead (피델 카스트로 사망)
  • FBI vs. Facebook

등등 ... (그래서 아무 이메일이나 클릭하면 안되는거다. 조심하자)

2 실행파일

이메일에 첨부된 파일을 클릭하게 되면 실행되는 악성코드의 알려진 이름들은 다음과 같다:

  • Postcard.exe
  • ecard.exe
  • FullVideo.exe
  • Full Story.exe
  • Video.exe
  • Read More.exe
  • FullClip.exe
  • GreetingPostcard.exe
  • MoreHere.exe
  • FlashPortcard.exe
  • GreetingCard.exe
  • ClickHere.exe ..

3 특징

스톰 웜의 알려진 기능으로는 봇넷루트킷이다. 대부분의 봇넷에 감염된 PC는 봇넷의 중앙 서버와 연결되어 있기 때문에 중앙 서버만 털면 그 봇넷은 끝장난다. 그러나 스톰 웜의 봇넷은 P2P 형태를 띄고 있기 때문에 "중앙 서버" 라는 개념이 없다. 즉 감염된 호스트들을 컨트롤하는 서버가 없다. 이런 특징은 곧 감염된 호스트들의 리스트 조차 입수하기가 힘들고 피해 규모가 얼마나 되는지 가늠하기 어렵게 된다.

2007년도에 스톰 웜이 발견 되었을 때 만하임 대학교가 연구한 바에 의하면 동시 접속한 좀비PC의 수가 5000대에서 40000대 정도 되는것 같다고 예측한 바 있다.

보안회사 시만텍이 발견한 또 다른 기능으로는 루트킷이 있다. Win32.agent.dh 라는 이름으로 설치되는 이 루트킷은 윈도우 드라이버를 패치하는 방식으로 설치되기도 한다.