1. 개요
웜은 스스로 복제하는 프로그램으로서 독자적으로 실행이 된다. 1999년 이메일 주소를 수집하고 스스로 전달되는 형태로 인터넷 웜이 출현하며 용어가 알려지게 되었다. 네트워크를 통해 자신의 복사본을 전송, 네트워크 손상을 시키며 대역폭을 잠식한다고 한다. 대상 컴퓨터에서만 활동한다. 그 외에 호스트 시스템에서 파일을 지우거나 암호화, 이메일을 통해 문서전달을 하며 백도어와 같이 동작하는 경우도 있다. 웜의 확산을 막기위해서는 알려진 취약한 네트워크 프로토콜을 차단하고 취약한 어플리케이션 버전을 패치를 권장한다. 또한 다른 컴퓨터의 확산을 막기위해 기본공유 폴더 해제와 윈도우 계정 패스워드 설정을 권장한다.
cmd창에서 net share 명령어를 입력하게 되면 현재 공유중인 폴더 및 디바이스를 확인할 수 있다.
|
삭제 명령어 |
설명 |
|
net share C$ /delete |
C 공유해제 |
|
net share print$ /delete |
Print 공유해제 |
|
net share Users /delete |
Users 공유해제 |
|
net share IPC$ /delete |
IPC 공유해제 |
표1 삭제 공유 폴더 삭제 명령어
해당 명령어를 CMD에 입력하면 공유 되어있는 폴더를 해제시킬 수 있다
유형에 따른 분류
MASS Mailer(SPAM) 형
- 대량의 메일 발송을 통해 확산
- 제목이 없거나 특정 제목으로 전송되는 메일을 읽을 경우에 감염된다
- 치료하지 않을 시 시스템에 기생을 하며 시스템 내부에서 메일 주소를 수집하여 계속 메일을 보낸다
- 증상
n 메일 전파, SMPT 서버(TCP Port25) 네트워크 트래픽 증가
n 종류에 따라 시스템에 임의의 파일을 생성한다.
n 확인되지 않은 메일을 열어볼 때 확산이 된다
시스템 공격형
- 운영체제의 고유의 취약점을 활용하며 시스템 파괴 및 백도어 설치를 한다
- 증상
n Windows, Windows/System32, Winnt, Winnt/System32폴더에 SVCHOST.exe등의 파일을 설치한다
n TCP 135(NetBIOS)/445(파일공유) 포트에 트래픽이 발생한다
n 특정 UDP포트를 오픈하여 외부 시스템과 통신을 한다
n 시스템 파일 삭제. 정보 유출 가능하다
네트워크 공격형
- 특정 네트워크, 시스템에 대해 Syn Flooding, Smurf 형태의 DoS공격을 수행한다
- DDoS 공격을 위한 Bot 형태로 발전 중이다
- 증상
n 네트워크 마비, 속도 저하
n 네트워크장비 비정상적 동작