어도어(Adore) 웜이라고 알려진 이 프로그램은 리눅스 시스템 보안에 소위 ''백도어''라 불리는 것을 만들어, 중국과 미국에 있는 서버에서 관리되는 4개의 상이한 e-메일 주소로 손상된 시스템에 대한 정보를 보내도록 제작됐다.
워싱턴대 보안 관리자이며 디지털 변론과 해킹 툴 전문가인 데이비드 디트리치는 "이 웜은 레이멘 웜의 변종인 것 같다"고 말했다.
레드햇 리눅스 제품을 사용하는 시스템을 감염시키기 위해 잘 알려진 3가지 보안 결함을 이용했던 레이멘 웜은 지난 1월 중순경에 출현해 수많은 컴퓨터를 감염시켰다.
레이멘 웜이 이용한 취약점은 대부분의 리눅스 배포판에 디폴트로 설치된 3가지 프로그램에 나타난다.
지난 달 SANS가 발견한 1i0n 웜은 DNS 소프트웨어를 설치한 서버 사이에 유포될 수 있도록 4번째 결함을 이용했다.
결함 발견
레드(Red) 웜이라고도 알려진 어도어 웜은 취약한 시스템에 자동으로 침입하기 위해 4가지 결함 모두를 이용한다.
SANS 세계 사건 분석 센터 사건 관리자인 매트 피어나우가는 "최소한 몇 개월전부터 모든 취약점에 대한 패치가 발표됐는데도 불구하고, 대부분의 시스템 관리자들은 시스템을 수리하지 않고 있었다"고 밝혔다.
그는 "이런 4가지 결함 중 3가지는 작년 8월에 수정됐다"면서 "우리는 시스템 관리자들이 그들의 시스템을 수정하도록 촉구할 수밖에 없다"고 말했다.
어도어 웜은 PS라는 애플리케이션을, 웜 자체를 제외한 모든 프로그램의 리스트를 만드는 복사본으로 대체한다. PS는 관리자가 시스템에서 현재 가동시키는 프로그램을 리스트로 만들기 위해 사용하는 것이다.
그 다음 이 웜은 4개(미국 2개, 중국 2개)의 e-메일 주소로 몇 개의 중요한 시스템 파일을 복사해 보낸다. 각각의 e-메일은 adore9000이나 adore9001이라는 사용자명을 사용하기 때문에 이 웜의 이름이 어도어가 된 것이다.
SANS는 이 웜에 의해 시스템이 손상됐는지를 탐지할 수 있는 ''adorefind''라는 프로그램을 발표했다.
이 웜은 다소 빠르게 확산되고 있으며, 취약한 프로그램임을 알려주는 표시를 찾아내기 위한 스캔으로 다양한 서버들을 공격하는 것 같다.
시큐리티포커스닷컴(SecurityFocus.com)이 만드는 벅트랙(Bugtraq) 리스트에서 일부 관리자들은 공격적인 시스템 스캐닝에 대한 우려를 제기했다.
한 관리자는 "수많은 사람들이 많은 호스트에서 오는 심한 스캐닝을 보고하고 있다"고 밝혔다.
또 다른 사람은 자신의 레드햇 리눅스 기기에서 이 웜을 발견했다. "이런 스캔 중 하나가 수정되지 않은 레드햇 6.2 기기에 성공적으로 침입했다."
숨겨진 백도어
이 웜을 출현시킨 온라인 반달족들은 수많은 시스템을 손상시키는 방법으로써 이 웜을 사용하고 있는 것으로 보인다.
이 웜은 ICMP(Internet Control Message Protocol)라는 기본 인터넷 서비스를 거의 동일한 버전으로 대체한다. 이 프로그램의 새로운 버전은 인터넷으로부터 적절한 일련의 명령을 받을 때마다 보안을 우회할 수 있는 백도어를 열어놓는다.
ICMP는 일반적으로 기기 간에 에러 정보를 보내는데 사용된다.
이 웜은 기기를 감염시키고 e-메일을 통해 컴퓨터에 대한 정보를 발송한 후, 오전 4시 2분까지 기다렸다가 백도어를 제외한 모든 파일을 삭제한다. @
