블래스터 (컴퓨터 웜)
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.
1. 개요
블래스터는 2003년에 등장한 컴퓨터 웜으로, 마이크로소프트 윈도우 운영체제의 취약점을 악용하여 확산되었다. 중국의 보안 연구원들이 최초의 마이크로소프트 패치를 리버스 엔지니어링하여 만들어졌으며, 윈도우의 DCOM RPC 서비스의 버퍼 오버플로우를 악용하여 자체적으로 스팸을 보내면서 확산되었다. 웜은 윈도우 업데이트 사이트에 대한 분산 서비스 거부 공격(DDoS)을 시도하도록 프로그래밍되었으며, "LOVE YOU SAN!!" 및 "billy gates why do you make this possible ? Stop making money and fix your software!!"라는 메시지를 포함하고 있었다. 블래스터 웜은 윈도우 2000 및 XP 시스템에서 주로 확산되었으며, 감염된 시스템은 RPC 서비스 충돌로 인해 자동 재부팅되는 증상을 보였다. 마이크로소프트는 웜 제거 도구를 배포하고, 제작자는 징역형을 선고받았다.
더 읽어볼만한 페이지
- 웜 - 모리스 웜
모리스 웜은 1988년 로버트 태판 모리스가 개발한 유닉스 시스템 대상의 컴퓨터 웜으로, 시스템 취약점과 비밀번호 취약성을 이용해 확산되었으며, 복제 오류로 시스템 다운을 유발하여 인터넷 보안의 중요성을 일깨웠다. - 웜 - 코드 레드 (컴퓨터 웜)
코드 레드는 2001년 여름에 전 세계적으로 확산된 컴퓨터 웜으로, 마이크로소프트 IIS 웹 서버의 취약점을 이용해 스스로를 복제하고 특정 메시지 표시 및 서비스 거부 공격을 수행하는 특징을 가진다. - 2000년대 해킹 - 님다
2001년에 발견된 님다는 전자 우편, 네트워크 공유, 감염된 웹사이트, IIS 서버 취약점, 백도어 등 다양한 경로를 통해 빠르게 확산된 강력한 컴퓨터 웜으로, 이메일 읽기만으로도 감염될 수 있고 발신자 주소 위장이 가능하여 피해를 키웠다. - 2000년대 해킹 - ILOVEYOU
ILOVEYOU는 2000년 5월 전 세계에 막대한 피해를 준 웜 바이러스로, "I LOVE YOU"라는 제목의 이메일과 악성 첨부파일, 사회 공학적 기법, 윈도우 시스템 취약점 등을 이용하여 빠르게 확산되어 컴퓨터 바이러스 역사상 가장 파괴적인 사례 중 하나로 기록되었다.
| 블래스터 (컴퓨터 웜) | |
|---|---|
| 개요 | |
| 이름 | 블래스터 |
| 다른 이름 | 러브산 (Lovsan) 러브산 (Lovesan) MS블래스트 (MSBlast) |
| 유형 | 웜 |
| 기술 정보 | |
| 기술적 이름 | 블래스터 (Blaster) 웜.Win32.Blaster (Global Hauri) W32/Blaster (Norman) W32/Blaster (Sophos) W32.Blaster.Worm (Symantec) 러브산 (Lovsan) W32/Lovsan.worm (McAfee) MS블래스트 (MSBLAST) Win32/Msblast (Microsoft) WORM_MSBLAST (Trend Micro) Win32.Poza (CA) Blaster (Panda) |
| 격리 날짜 | 2004년 |
| 시작 국가 | 미네소타 (B 변종만 해당) |
| 감염 경로 | 원격 프로시저 호출 |
| 운영체제 | 윈도우 XP 및 윈도우 2000 |
| 프로그래머 | 제프리 리 파슨 (Jeffrey Lee Parson) (B 변종만 해당) |
| 기타 | |
| 메시지 | 블래스터 웜의 헥스 덤프에는 프로그래머가 빌 게이츠에게 남긴 메시지가 포함됨. |
2. 생성 및 작동 방식
블래스터는 중국 그룹 Xfocus|시포커스중국어의 보안 연구원들이 마이크로소프트 패치를 리버스 엔지니어링하여 만들었다.[4] 이 웜은 폴란드 보안 연구 그룹 Last Stage of Delirium[5]이 발견한 윈도우 운영 체제의 DCOM RPC 서비스의 버퍼 오버플로우 취약점을 악용하여 확산되었다. 이 취약점에 대한 패치는 MS03-026[6]과 MS03-039[7]에서 이미 배포되었다. 웜은 무작위 IP 주소로 자체 스팸을 보내는 방식으로 확산되었으며, 4가지 버전이 발견되었다.[8]
이 웜은 특정 시기(8월 16일~12월 31일, 또는 매달 16일 이후)에 windowsupdate.com의 80번 포트에 SYN 플러드를 발생시켜 분산 서비스 거부 공격(DDoS)을 시도했다.[8] 웜의 실행 파일인 MSBlast.exe[10]에는 "I just want to say LOVE YOU SAN!!", "billy gates why do you make this possible ? Stop making money and fix your software!!"라는 두 개의 메시지가 포함되어 있었다. 또한 웜은 윈도우가 시작될 때마다 "windows auto update=msblast.exe"라는 레지스트리 항목을 생성하여 실행되도록 했다.
2. 1. 생성 배경
MSBlaster 웜은 중국의 보안 연구 그룹 Xfocus|시포커스중국어가 마이크로소프트의 패치를 리버스 엔지니어링하여 만든 것으로 알려져 있다.[4] 이 웜은 폴란드의 보안 연구 그룹 Last Stage of Delirium[5]이 발견한 윈도우 DCOM RPC 서비스의 버퍼 오버플로우 취약점을 악용했다. 이 취약점에 대한 패치는 한 달 전에 MS03-026[6], MS03-039[7]로 배포되었으나, 많은 시스템이 패치되지 않아 웜 확산에 취약했다.2. 2. 작동 방식
블래스터 웜은 사용자가 첨부 파일을 열지 않아도 무작위 IP 주소를 통해 스스로 전파되도록 설계되었다.[8] 이는 폴란드의 보안 연구 그룹 Last Stage of Delirium[5]이 발견한 윈도우 운영 체제의 DCOM RPC 서비스의 버퍼 오버플로우 취약점을 악용한 것이다. 이 취약점에 대한 패치는 한 달 전에 MS03-026[6]과 MS03-039[7]에서 이미 배포된 상태였다.웜은 특정 시기(8월 16일~12월 31일, 또는 매달 16일 이후)에 windowsupdate.com의 80번 포트에 SYN 플러드를 발생시켜 분산 서비스 거부 공격(DDoS)을 시도했다.[8] 그러나 마이크로소프트는 대상 사이트가 windowsupdate.microsoft.com이 아닌 windowsupdate.com이었고, 전자가 후자로 리디렉션되었기 때문에 피해를 최소화할 수 있었다. 또한, 마이크로소프트는 웜으로 인한 잠재적 영향을 줄이기 위해 대상 사이트를 일시적으로 폐쇄하기도 했다.
웜 실행 파일(MSBlast.exe)[10]에는 두 개의 메시지가 포함되어 있었다. 첫 번째는 "I just want to say LOVE YOU SAN!!"이라는 메시지로, 이 때문에 웜은 Lovesan이라는 별칭을 얻게 되었다. 두 번째는 "billy gates why do you make this possible ? Stop making money and fix your software!!"라는 메시지로, 마이크로소프트의 공동 창업자인 빌 게이츠에게 보내는 메시지였다.
웜은 시스템 시작 시 자동 실행되도록 윈도우 레지스트리에 "windows auto update=msblast.exe"라는 항목을 생성했다.
3. 타임라인
| 날짜 | 사건 |
|---|---|
| 2003년 7월 5일 | 마이크로소프트가 7월 16일에 출시한 패치의 타임스탬프.[2] |
| 2003년 7월 16일경 | 화이트 해커들이 패치가 되지 않은 시스템이 취약하다는 것을 증명하는 개념 증명 코드를 만들었으나, 공개되지는 않았다.[5] |
| 2003년 7월 21일 | CERT/CC는 포트 139와 445도 차단할 것을 제안했다.[14] |
| 2003년 8월 11일 이전 | RPC 익스플로잇을 사용하는 다른 바이러스들이 존재했다.[9] |
| 2003년 8월 11일 저녁 | 안티바이러스 및 보안 회사들은 윈도우 업데이트를 실행하라는 경고를 발령했다.[16] |
| 2003년 8월 15일 | 감염된 시스템 수가 423,000건으로 보고되었다.[18] |
| 2003년 8월 19일 | 시만텍은 웰치아에 대한 위험 평가를 "높음"(카테고리 4)으로 상향 조정했다.[21] |
| 2003년 8월 25일 | 맥아피(McAfee)는 위험 평가를 "중간"으로 낮췄다.[22] |
| 2004년 1월 1일 | 웰치아가 스스로 삭제되었다.[20] |
| 2004년 2월 15일 | 웰치아의 변종이 인터넷에서 발견되었다.[24] |
| 2004년 2월 26일 | 시만텍은 웰치아 웜에 대한 위험 평가를 "낮음"(카테고리 2)으로 낮췄다.[20] |
| 2004년 3월 12일 | 맥아피는 위험 평가를 "낮음"으로 낮췄다.[22] |
| 2004년 4월 21일 | "B" 변종이 발견되었다.[22] |
3. 1. 2003년
- 2003년 5월 28일: 마이크로소프트는 웰치아 웜이 악용하던 WebDAV 취약점을 방지하는 패치를 출시했다. 웰치아는 MS블래스터와 동일한 취약점을 사용했지만, 이 패치로 수정된 추가 전파 방식을 가지고 있었다. 이 방식은 20만 건의 RPC DCOM 공격 이후에만 사용되었는데, 이는 MS블래스터가 사용한 방식이다.[11][12]
- 2003년 7월 16일: 마이크로소프트는 MS블래스터로부터 사용자를 보호하는 패치를 출시하고, 이 취약점을 설명하는 게시판도 함께 발표했다.[2][13]
- 2003년 7월 17일: CERT/CC는 경고를 발표하고 포트 135를 차단할 것을 제안했다.[14]
- 2003년 7월 25일: xFocus는 마이크로소프트가 7월 16일 패치를 통해 수정하려 했던 RPC 버그를 악용하는 방법에 대한 정보를 공개했다.[15]
- 2003년 8월 1일: 미국은 RPC 버그를 악용한 악성 코드에 대한 경고를 발령했다.[5]
- 2003년 8월 11일: 블래스터 웜의 원본 버전이 인터넷에 나타났다.[16] 같은 날, 시만텍 안티바이러스는 신속한 릴리스 보호 업데이트를 발표했다.[8]
- 2003년 8월 12일: 감염된 시스템 수가 3만 건으로 보고되었다.[16]
- 2003년 8월 13일: MS블래스터의 변종과 W32/RpcSpybot-A라는 새로운 웜이 확산되기 시작했다.[17]
- 2003년 8월 16일: windowsupdate.com에 대한 DDoS 공격이 시작되었다. 이 공격은 해당 URL이 실제 사이트인 windowsupdate.microsoft.com으로 리디렉션되기 때문에 대체로 성공하지 못했다.[16]
- 2003년 8월 18일: 마이크로소프트는 MS블래스트와 그 변종에 대한 경고를 발표했다.[19] 같은 날, 웰치아 웜이 인터넷에 나타났다.[20]
- 2003년 8월 27일: 웜의 한 변종에서 HP에 대한 잠재적인 DDoS 공격이 발견되었다.[8]
3. 2. 2004년 이후
2004년 1월 13일 마이크로소프트는 MS블래스터 웜 및 그 변종을 제거하는 독립 실행형 도구를 출시했다.[23] 2005년 1월 28일, MS블래스터 B 변종 제작자는 18개월 징역형을 선고받았다.[25]4. 영향 및 피해
웜은 윈도우 2000 또는 윈도우 XP를 실행하는 시스템에서만 확산될 수 있었지만, 윈도우 서버 2003 및 윈도우 XP 프로페셔널 x64 에디션과 같은 윈도우 NT의 다른 버전에서는 RPC 서비스의 불안정을 야기할 수 있었다. 특히 윈도우 서버 2003은 /GS 스위치로 컴파일되어 버퍼 오버플로를 감지하고 RPCSS 프로세스를 종료했기 때문에 웜이 확산되지 않았다.[26]
감염 시 버퍼 오버플로로 인해 RPC 서비스가 충돌하여 윈도우에서 시스템 종료 메시지를 표시한 후 일반적으로 60초 후에 자동으로 재부팅되었다.[27] 이는 많은 사용자가 감염되었다는 첫 번째 징후였으며, 감염된 컴퓨터에서 매번 시작 후 몇 분 후에 발생했다. "shutdown /a" 명령을 실행하면 카운트다운을 중지할 수 있었지만,[28] 빈 시작 화면이 나타나는 부작용이 있었다.[29] 웰치아 웜도 비슷한 영향을 미쳤으며, 몇 달 후 새서 웜이 나타나 유사한 메시지를 표시했다.
4. 1. 시스템 영향
블래스터 웜은 윈도우 2000이나 윈도우 XP를 실행하는 시스템에서만 확산될 수 있었지만, 윈도우 서버 2003, 윈도우 XP 프로페셔널 x64 에디션과 같은 다른 윈도우 NT 버전에서는 RPC 서비스의 불안정을 야기할 수 있었다.[26] 윈도우 서버 2003의 경우 /GS 스위치로 컴파일되어 버퍼 오버플로를 감지하고 RPCSS 프로세스를 종료했기 때문에 웜이 확산되지 않았다.[26]감염되면 버퍼 오버플로로 인해 RPC 서비스가 충돌하여 윈도우에서 아래와 같은 메시지를 표시하고 60초 후에 자동으로 재부팅되었다.[27]
시스템 종료:
이 시스템이 종료됩니다. 진행 중인 모든 작업을 저장하고 로그오프하십시오. 저장하지 않은 변경 사항은 손실됩니다. 이 종료는 NT AUTHORITY\SYSTEM에서 시작되었습니다.
종료 전 시간: 시:분:초
메시지:
원격 프로시저 호출(RPC) 서비스가 예기치 않게 종료되어 윈도우를 다시 시작해야 합니다.
이는 많은 사용자가 감염되었다는 첫 번째 징후였으며, 감염된 컴퓨터에서 매번 시작 후 몇 분 후에 발생했다. "shutdown /a" 명령을 실행하면 카운트다운을 중지할 수 있었지만,[28] 빈 시작 화면이 나타나는 부작용이 있었다.[29] 웰치아 웜도 비슷한 영향을 미쳤다. 몇 달 후, 새서 웜이 나타나 유사한 메시지를 표시했다.
참조
[1]
웹사이트
CERT Advisory CA-2003-20: W32/Blaster worm
http://www.cert.org/[...]
CERT/CC
2003-08-14
[2]
웹사이트
MS03-026: Buffer Overrun in RPC May Allow Code Execution
https://support.micr[...]
Microsoft Corporation
2018-11-03
[3]
웹사이트
Minnesota Man Sentenced to 18 Months in Prison for Creating and Unleashing a Variant of the MS Blaster Computer Worm
https://www.justice.[...]
United States Department of Justice
2005-01-28
[4]
웹사이트
FBI arrests 'stupid' Blaster.B suspect
http://www.vnunet.co[...]
Incisive Media|vnunet.com
2003-09-01
[5]
웹사이트
MSBlast W32.Blaster.Worm / LovSan :: removal instructions
https://able2know.or[...]
able2know.org
2003-08-12
[6]
웹사이트
Microsoft Security Bulletin MS03-026 - Critical
https://docs.microso[...]
2023-03-01
[7]
웹사이트
Microsoft Security Bulletin MS03-039 - Critical
https://docs.microso[...]
2023-03-01
[8]
웹사이트
W32.Blaster.Worm
https://www.symantec[...]
Symantec
2003-12-09
[9]
웹사이트
The Lifecycle of a Vulnerability
http://www.iss.net/d[...]
internet Security Systems, Inc.
[10]
웹사이트
Worm:Win32/Msblast.A
https://www.microsof[...]
Microsoft Corporation
[11]
웹사이트
The Welchia Worm
https://www.giac.org[...]
2003-12-18
[12]
웹사이트
Buffer Overrun in Windows Kernel Message Handling could Lead to Elevated Privileges (811493)
https://docs.microso[...]
[13]
웹사이트
Flaw In Microsoft Windows RPC Implementation
http://www.iss.net/t[...]
2003-07-16
[14]
웹사이트
Buffer Overflow in Microsoft RPC
http://www.cert.org/[...]
2003-08-08
[15]
웹사이트
The Analysis of LSD's Buffer Overrun in Windows RPC Interface
http://www.xfocus.or[...]
2003-07-25
[16]
뉴스
Blaster worm spreading, experts warn of attack
https://www.infoworl[...]
2003-08-12
[17]
웹사이트
New Blaster worm variant on the loose
https://www.infoworl[...]
InfoWorld
2003-08-13
[18]
웹사이트
Blaster worm attack a bust
https://www.infoworl[...]
InfoWorld
2003-08-18
[19]
웹사이트
Virus alert about the Blaster worm and its variants
https://support.micr[...]
Microsoft Corporation
[20]
웹사이트
W32.Welchia.Worm
https://www.symantec[...]
Symantec
2017-08-11
[21]
뉴스
'Friendly' Welchia Worm Wreaking Havoc
http://www.internetn[...]
InternetNews.com
2003-08-19
[22]
웹사이트
Virus Profile: W32/Lovsan.worm.a
https://home.mcafee.[...]
McAfee
2003-08-11
[23]
웹사이트
A tool is available to remove Blaster worm and Nachi worm infections from computers that are running Windows 2000 or Windows XP
http://support.micro[...]
Microsoft Corporation
[24]
웹사이트
W32.Welchia.C.Worm
https://www.symantec[...]
Symantec
2007-02-13
[25]
웹사이트
Minnesota Man Sentenced to 18 Months in Prison for Creating and Unleashing a Variant of the MS Blaster Computer Worm
https://www.justice.[...]
2005-01-28
[26]
웹사이트
Why Blaster did not infect Windows Server 2003
https://blogs.msdn.m[...]
Microsoft Corporation
2004-05-23
[27]
웹사이트
Worm_MSBlast.A
https://www.trendmic[...]
TrendMicro.com
[28]
웹사이트
Blaster Worm-Virus or Its Variants Cause the Computer to Shutdown with an NT AUTHORITY\SYSTEM Error Message Regarding Remote Procedure Call (RPC) Service
http://h10025.www1.h[...]
Hewlett-Packard|HP
[29]
웹사이트
Blaster Worm
https://www.techoped[...]
Techopedia
[30]
웹인용
CERT Advisory CA-2003-20 W32/Blaster worm
http://www.cert.org/[...]
Cert.org
2010-09-23
[31]
웹인용
MS03-026: Buffer Overrun in RPC May Allow Code Execution
http://support.micro[...]
[32]
웹인용
Blaster worm author gets jail time
http://www.infoworld[...]
infoworld
2005-01-28
본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.
문의하기 : help@durumis.com