악성 IRC봇 바로 알기(2)    지난 호에서 봇은 ‘로봇’의 준말로 사용자나 다른 프로그램 또는 사람의 행동을 흉내 내는 대리자로 동작하는 프로그램이라는 정의에 대해 알아봤고, 이 가운데 가장 문제가 되는 악성 IRC봇의 동작원리와 전파방식을 살펴봤다. 이번 호는 악성 IRC봇 바로 알기 두 번째 시간으로 악성 IRC봇에 감염됐을 때 나타나는 대표적 증상과 예방대책에 대해 서술해보기로 한다.

악성 IRC봇 감염시 대표적인 증상
악성 IRC봇에 감염되면 사용자가 느낄 수 있는 증상은 크게 다음과 같다.
1. 윈도우즈 폴더나 윈도우즈 시스템 폴더에 파일이 만들어진다.
2. 실행 중인 프로그램이 자동 종료된다. 주로 백신 프로그램과 같은 보안 프로그램이다.
3. 백신 업체 사이트 접속이 되지 않는다.
4. 불필요한 네트워크 트래픽이 발생한다. 감염된 시스템이 많을 경우 네트워크 장비에 과부하가 발생해 시스템이 다운된다.
5. CPU 사용률이 100%까지 올라가면서 컴퓨터가 느려진다.

1. 윈도우즈 폴더나 윈도우즈 시스템 폴더에 파일이 만들어진다
파일이 실행되면 윈도우즈 폴더나 윈도우즈 시스템 폴더에 자신을 복사한다(윈도우즈 폴더는 시스템마다 다를 수 있으며 보통 윈도우즈 95/98/ME/XP는 C:\Windows, 윈도우즈 NT/2000은 C:\WinNT 폴더이다. 윈도우즈 시스템 폴더는 사용 윈도우즈에 따라 다르며 보통 윈도우즈 95/98/ME는 C:\Windows\System, 윈도우즈 NT/2000은 C:\WinNT\System32, 윈도우즈 XP는 C:\Windows\
System32 폴더이다). 
단, 일부 변형은 은폐기법(Stealth Technique)을 사용한다. 은폐기법은 악성코드가 실행 시 자신의 존재를 숨겨 백신이나 사용자가 발견 또는 제거하기 힘들게 하는 방법이다. 은폐기법이 존재하는 악성코드를 치료(삭제)하기 위해서는 안전 모드로 부팅해 파일을 사용자가 직접 삭제하거나 메모리 진단/치료 기능이 있는 백신을 사용해야 한다. 만들어 지는 파일이름은 변형에 따라 조금씩 다르다. 다음 번 윈도우즈 시작 시 자동 실행되기 위해 보통 다음의 레지스트리에 자신을 추가한다.

HKEY_LOCAL_MACHINE
   ￦SOFTWARE
      ￦Microsoft
         ￦Windows
            ￦CurrentVersion
               ￦Run

HKEY_LOCAL_MACHINE
   ￦SOFTWARE
      ￦Microsoft
         ￦Windows
            ￦CurrentVersion
               ￦RunService

변형에 따라 만들어지는 파일이름이 달라지며, 대표적인 리스트는 다음과 같다.

- explored.exe(72,192 바이트/ 111,104 바이트 등)
- msiwin84.exe
- navaptp.exe(71,168 바이트)
- netlink32.exe(116,624 바이트)
- netsvcs.exe(92,160 바이트)
- norton.exe(126,976 바이트)
- scvhost.exe(136,218 바이트)
- scrssl.exe(116,464 바이트)
- soundman.exe(175,596 바이트/ 315,392 바이트)
- sysconf.exe(96,159 바이트)
- winaii.exe(109,116 바이트)
- windate.exe(136,218 바이트)
- windns32.exe(116,624 바이트)
- winuser32.exe(74,615 바이트) 등

2. 실행 중인 프로그램이 자동 종료된다
여러 실행 중인 프로세스의 종료를 시도한다. 보통 백신 프로그램, 디버거 등의 프로그램이다.

3. 백신 업체 사이트 접속이 되지 않는다
HOSTS 파일(일반적으로 윈도우즈 시스템 폴더￦drivers￦etc에 존재, 예 : C:￦WINNT￦SYSTEM32￦
DRIVERS￦ETC)을 변경해 다음 사이트를 127.0.0.1로 등록해 접속하지 못하게 한다. 보통 백신 업체이다.

4. 불필요한 네트워크 트래픽이 발생한다
다른 시스템을 감염시키거나 네트워크를 통한 공격을 위해 네트워크 트래픽이 발생한다.

특정 사이트에 대한 추가적인 공격 및 서비스 공격으로 인하여 과도한 네트워크 트래픽이 유발된다. 감염된 시스템이 많을 경우 네트워크 장비에 부하가 걸려 네트워크 장비가 오동작 혹은 다운될 수 있다.

5. CPU 사용률이 100%까지 올라가면서 컴퓨터가 느려진다
이외 사용자가 느낄 수 없는 증상은 다음과 같다.

사용자 컴퓨터의 원격제어가 가능하며, 개인정보를 유출한다
성공적으로 지정된 IRC 서버와 방(채널)에 접속하고 방장(오퍼)으로부터 명령을 받아야만 여러 가지 기능을 수행할 수 있다. 이들 기능은 변형에 따라 조금씩 다르다. 단, IRC 서버 운영자가 해당 방(채널)을 삭제하면 접속되지 않아 아래 기능이 수행되지 않을 수 있다.

- 파일 실행 및 삭제(다른 웜, 바이러스 등을 실행할 수 있음)
- 파일 다운로드 및 업로드(기밀문서 등을 훔쳐갈 수 있음)
- 시스템 정보 확인(사용자 정보를 유출할 수 있음)
- CD-ROM 드라이브 열고 닫기(사용자를 놀라게 할 수 있음)
- 사용자가 키보드로 입력하는 내용 저장(사용자 비밀번호 등을 유출할 수 있음)
- 특정 IP에 대한 패킷 공격(사내 네트워크 트래픽이 증가해 내부망이 다 될 수 있음)
- 특정 게임 CD 키 번호 유출 등

유출 가능한 게임 CD-키 리스트는 다음과 같다.
- Battlefield 1942
- Battlefield 1942 Secret Weapons of WWII
- Battlefield 1942 The Road to Rome
- Chrome
- Command & Conquer Generals
- FIFA 2002
- FIFA 2003
- Hidden and Dangerous 2
- NHL 2002
- NHL 2003
- NOX
- Nascar 2002
- Nascar 2003
- Need For Speed Hot Pursuit 2
- Neverwinter Night
- Project IGI 2
- Red Alert
- Red Alert 2
- Soldier of Fortune II - Double Helix
- The Gladiators
- Tiberian Sun
- Unreal Tournament 2003

악성 IRC봇 예방대책
일반 사용자
Administrator 계정 등의 비밀번호를 어렵게 한다. 최신 윈도우즈 보안 업데이트를 적용한다. 네트워크 관리자
외부에서 들어오는 TCP 135, 139, 445번 포트를 차단한다. 접속하는 IRC 서버를 차단해 네트워크 트래픽을 없앤다. 단, 웜 파일 전파를 차단할 수는 없다.  <글 : 차민석 | 안철수연구소 시큐리티대응센터(ASEC) 선임연구원(jackycha@ahnlab.com)>

[월간 시큐리티월드 통권 제147호 (info@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>