스톰 웜

스톰 웜(Storm Worm, 핀란드 기업 F-시큐어가 명명)은 백도어^[1]^[2] 트로이 목마의 하나로서, 마이크로소프트 운영 체제를 사용하는 컴퓨터에 영향을 주며,^[3]^[4]^[5] 2007년 1월 17일 발견되었다.^[3] 이 웜의 다른 이름은 다음과 같다:

Small.dam 또는 Trojan-Downloader.Win32.Small.dam (F-시큐어)
CME-711 (MITRE)
W32/Nuwar@MM, Downloader-BAI (특정 유형) (맥아피)
Troj/Dorf, Mal/Dorf (Sophos)
Trojan.DL.Tibs.Gen!Pac13^[3]
Trojan.Downloader-647
Trojan.Peacomm (시만텍)
TROJ_SMALL.EDW (트렌드 마이크로)
Win32/Nuwar (ESET)
Win32/Nuwar.N@MM!CME-711 (윈도우 라이브 원케어)
W32/Zhelatin (F-시큐어, 카스퍼스키)
Trojan.Peed, Trojan.Tibs (비트디펜더)

동작 방식

원래 유럽의 폭풍 Kyrill에 관한 메시지에서 전파된 스톰 웜은 다음의 이메일 제목으로 되어있다:^[6]

How To Get So HARD
A killer at 11, he's free at 21 and kill again!
U.S. Secretary of State Condoleezza Rice has kicked German Chancellor Angela Merkel
British Muslims Genocide
Naked teens attack home director.
230 dead as storm batters Europe.(Where the worm got its name from)
Re: Your text
Radical Muslim drinking enemies's blood.
Chinese/Russian missile shot down Russian/Chinese satellite/aircraft
Saddam Hussein safe and sound!
Saddam Hussein alive!
Venezuelan leader: "Let's the War beginning".
Fidel Castro dead.
If I Knew
FBI vs. Facebook

첨부 파일을 열면 악성 소프트웨어가 wincom32 서비스를 설치하고 페이로드를 주입하고 패킷을 악성 소프트웨어 자체 내에 인코딩된 위치로 전달한다. 시만텍에 따르면 Trojan.Abwiz.F trojan, W32.Mixor.Q@mm 웜을 다운로드하고 실행할 수 있다.^[6] 첨부파일의 알려진 이름 중 일부는 다음과 같다:^[6]

Postcard.exe
ecard.exe
FullVideo.exe
Full Story.exe
Video.exe
Read More.exe
FullClip.exe
GreetingPostcard.exe
MoreHere.exe
FlashPostcard.exe
GreetingCard.exe
ClickHere.exe
ReadMore.exe
FlashPostcard.exe
FullNews.exe
NflStatTracker.exe
ArcadeWorld.exe
ArcadeWorldGame.exe

나중에 F-Secure가 확인한 바에 따르면 이 악성 소프트웨어는 "Love birds", "Touched by Love"와 같은 제목을 확산시키기 시작했다. 이 이메일들은 다음의 파일 중 일부를 호스팅하는 웹사이트로 연결되며 바이러스가 포함된 것으로 확인되었다:

with_love.exe
withlove.exe
love.exe
frommetoyou.exe
iheartyou.exe
fck2008.exe
fck2009.exe

내용주

↑ Шуб, Александр. “"Штормовой червь" атакует Интернет” "Штормовой червь" атакует Интернет (러시아어). 2007년 9월 28일에 원본 문서에서 보존된 문서. 2007년 1월 20일에 확인함.
↑ Prince, Brian (2007년 1월 26일). “'Storm Worm' Continues to Spread Around Globe”. FOXNews.com. 2007년 5월 23일에 원본 문서에서 보존된 문서. 2007년 1월 27일에 확인함.
↑ ^가 ^나 ^다 “F-Secure Trojan Information Pages: Small.DAM”. 2007년 1월 25일에 확인함.
↑ According to Symantec, which detected it as Trojan.Packed.8. LiveUpdate definitions also identified it as Trojan.Peacomm
↑ “"Storm worm" sloshes through the internet”. 2007년 1월 19일. 2007년 1월 20일에 확인함.
↑ ^가 ^나 ^다 Suenaga, Masaki (2007년 1월 22일). “Trojan.Peacomm”. 2007년 1월 22일에 확인함.

외부 링크

Spamtrackers SpamWiki: Storm
NetworkWorld: Storm Worm's virulence may change tactics
Wired.com: Analysis by 브루스 슈나이어
"There's a Storm Coming", from the IBM ISS X-Force Blog
Trojan.Peacomm (Storm) at Symantec
Stormy Weather: A Quantitative Assessment of the Storm Web Threat in 2007 (Trend Micro)
In millions of Windows, the perfect Storm is gathering, from The Observer.
April Fool's Day Storm Worm Attack Hits Archived 2008년 10월 13일 - 웨이백 머신, from PC World.
Storm and the future of social engineering Archived 2016년 1월 12일 - 웨이백 머신 from Help Net Security (HNS).
Bodmer, Kilger, Carpenter, & Jones (2012). Reverse Deception: Organized Cyber Threat Counter-Exploitation. New York: McGraw-Hill Osborne Media. ISBN 0071772499, ISBN 978-0071772495

[1] Шуб, Александр. “"Штормовой червь" атакует Интернет” "Штормовой червь" атакует Интернет (러시아어). 2007년 9월 28일에 원본 문서에서 보존된 문서. 2007년 1월 20일에 확인함.

[2] Prince, Brian (2007년 1월 26일). “'Storm Worm' Continues to Spread Around Globe”. FOXNews.com. 2007년 5월 23일에 원본 문서에서 보존된 문서. 2007년 1월 27일에 확인함.

[FSEC-3] 가 ^나 ^다 “F-Secure Trojan Information Pages: Small.DAM”. 2007년 1월 25일에 확인함.

[4] According to Symantec, which detected it as Trojan.Packed.8. LiveUpdate definitions also identified it as Trojan.Peacomm

[5] “"Storm worm" sloshes through the internet”. 2007년 1월 19일. 2007년 1월 20일에 확인함.

[Symantec-6] 가 ^나 ^다 Suenaga, Masaki (2007년 1월 22일). “Trojan.Peacomm”. 2007년 1월 22일에 확인함.

[1]

[2]

[3]

[4]

[5]

[6]