Anti-Code_Red 웜 주의보

안녕하십니까? 안철수연구소입니다.

Code_Red에 감염된 서버에 ida overflow와 관련된 MS패치를 설치하고, Code_Red_II에 관련된 백도어 등을 제거해 주는 Code_Green(가칭)과 CRClean(가칭) 웜이 외국에서 발견되었습니다.

선의의 목적을 가진 웜이라 하더라도 이미 공격당한 시스템을 이용하여 시스템을 파괴 하거나 새로운 공격에 이용하는 웜의 출현이 가능하므로 고객님의 각별한 주의를 부탁 드립니다.

1. Code_Green(가칭)

Code_Green(가칭)에 감염될 경우 다음과 같은 로그가 남습니다.

GET /default.ida?Code_Green__V1.0_beta_written_by_'Der_HexXer'- Wuerzburg_Germany - _is_dedicated_to_my_sisterli_'Doro'.Save_Whale_and_visit__and_%u9090%u68 58%ucbd3 %u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190 %u00c3%u0 003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0

Code_Green(가칭)의 경우는 Code_Red와 마찬가지로 무작위적인 80 port Scan을 하기 때문에 불필요한 트래픽을 발생시키고 있으며,일부 Cisco DSL Router등이 Code_Red의 expolit code에 공격을 받았을때 hang up되는 문제가 있는것과 똑같은 문제를 야기시킬 수 있습니다.

2. CRClean(가칭)

CRClean(가칭)에 감염될 경우 다음과 같은 로그가 남습니다.

GET /default.ida?---This-is-CRclean---Code-Red-cleanup-worm---check- your-wwwroot-for -CRclean.dll---it-contains-zipped-source---this-worm-does-not-spread- actively---if-you- see-this-the-destination-host-is-infected-with-Code-Red--------------- %u9090%u6858%ucbd3 %u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190 %u00c3%u0003 %u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0

CRClean(가칭)의 경우는 일단 감염되면 IIS의 ISAPI filter로 설치되어 Code_Red의 공격을 받았을 경우에만 공격자 서버에 ida overflow를 통하여 설치되는 점이 Code_Green(가칭)과는 다른점입니다.

현재 보다 정확한 정보를 분석중에 있으며, 확인되는 대로 다시 알려드리도록 하겠습니다.