4. Worm

안녕하세요. 이번주는 Worm에 대해 포스팅을 하겠습니다. 

 첫 번째로 Worm의 정의에 대해 설명해드리겠습니다. 저번주에는 Ransomware 관련 포스팅을 했었는데요, Worm 또한 Ransomware와 마찬가지로 악성프로그램(malware)의 일종입니다.  Worm은 스스로를 복제해서 네트워크를 이용해 확산시키는 악성프로그램으로, 바이러스와 달리 다른 파일을 감염시켜 실행되지 않고 독자적으로 실행되어 스스로를 복제합니다. 그리고 'Worm'이라는 이름의 유래는 John Brunner가 1975년에 출판한 공상 과학 소설 《The Shockwave Rider》에서 유래되었다고 하네요.

 두 번째로는 Worm의 종류에 대해 살펴보겠습니다. 웜의 종류로는 Morris Worm, code red Worm, SQL Slammer, Blaster Worm, Welchia Worm, sobig.F Worm,Mydoom Worm, Netsky Worm ,bagle Worm ,Sasser Worm 등이 있습니다.  그 중 몇가지 worm에 대해 설명드리겠습니다. 

  Morris Worm은 최초로 등장한 웜이라고 해서 꽤 유명한 웜입니다. 실제 제작자인 Robert Morris의 이름을 따서 지어진 이름이죠. Morris Worm은 당시 전세계 모든 유닉스 컴퓨터 중 10%에 해당하는 규모의, 즉 약 6000대를 감염시킨 웜입니다. 이 프로그램의 제작 의도가 '인터넷의 크기를 알아내려고'임을 알고나니 황당하기도 하죠. 물론 이런 순수한 의도 덕분에 감염된 pc가 크게 피해를 입지 않았지만, 이로인해 '네트워크'상에 엄청난 영향을 주었고, 이로인해 '네트워크'를 공격할 수 있는 악성프로그램 'Worm'의 시발점이 되었습니다. 

  code red worm은 2001년 당시 25만대 이상의 컴퓨터를 감염시킨 웜으로, 마이크로소프트 인터넷 정보 서비스(IIS)의 buffer overflow 취약점을 이용해 제작되었습니다. 이 code red worm에는 20~27일 동안 잠복한 후 미국 백악관 홈페이지 등 몇몇 IP에 DOS 공격을 취하는 기능도 포함되어 있었습니다.

  SQL Slammer는 2003년에 등장하여 10분만에 75,000 대 이상의 컴퓨터를 감염시킨 웜으로, 마이크로소프트의 'SQL Server'와 Desktop Engine database 제품에서 발생한 buffer overflow 버그를 이용해 제작되었습니다.  

  Blaster Worm은 2003년에 등장하여 1~2분 간격으로 컴퓨터를 재부팅 시켜 국내외적으로 큰 피해를 준 웜입니다. 추가적으로 이 blaster worm의 제작자는 대담하게도 프로그램 안에 당시 마이크로소프트 기술 고문이었던 빌 게이츠에게  'billy gates why do you make this possible? Stop making money and fix your software!!'이라는 메세지를 남겼습니다. 

<Blater worm을 hex dump한 모습>

  Whlchia Worm은 Nachi Worm으로도 알려져 있는 웜으로, 감연된 pc 안의 Blaster worm을 제거하고, blaster worm에 의한 추가 감염을 방지할 수 있도록 마이크로소프트의 보안패치를 적용시킨 후 스스로 삭제됩니다. worm을 없애기 위해 worm을 이용하다니 꽤나 신박하네요. 

  sobig.F Worm은 2003년에 등장하여 감염됨 pc를 통해 메일 발신 주소를 위장하여 스팸 메일을 발송하도록하는 웜으로, sobig worm 중 가장 크게 영향을 끼쳤습니다. ( sobig worm에는 sobig.A,sobig.B~sobig.F까지 존재합니다.)

  마지막으로 Mydoom Worm은 2004년에 등장해 역대 최고의 전파 속도로 전세계 100만대 이상의 PC를 감염시킨 worm으로, 당시에 전자 메일 스패머가 감연된 컴퓨터를 통해 스팸메일을 보냈다고 알려져 있습니다. 

 오늘은 worm의 정의와 종류를 끝으로 포스팅을 마무리하겠습니다. 혹시 제가 쓴 포스팅에서 오류를 발견하시면 comment 남겨주세요! 끝까지 읽어주셔서 감사합니다.