나한테 바이러스 보낸 쥐색히 보거라

2009 - 05 - 23

아정포 카페에 올렸던 글입니다.

어제 21시 05분과 오늘 12시 10분경에 나한테 바이러스 보낸 찌질이 보거라. 실망시켜서 미안하지만... 님하 실패하셨쩌.

첫번째 메일은 한국교육개발원(kedi.re.kr)의 누군가를 사칭했고, 두번째 메일은 연합뉴스(yna.co.kr)의 변모 기자님을 사칭했네... 기자나 연구원 신분으로 뭔가 중요한 문의를 하면 쉽게 넘어갈 거라고 생각했니?

근데 이자슥아... 한국교육개발원과 연합뉴스 모두 자기네 메일주소를 사칭하는 너같은 넘을 막기 위해 도메인에 친절하게 SPF 레코드를 넣어두셨더라... 그것도 아주 깔끔하게 -all 로 끝나더라. 네가 118.43.205.85 에서 보낸 두 통의 바이러스메일은 너무 스팸냄새가 난단 말이다.

근데 이 IP 주소가 일반 초고속인터넷 가입자의 평범한 데스크탑 컴퓨터는 아닌 모양이네?

# ping 118.43.205.85
PING 118.43.205.85 (118.43.205.85) 56(84) bytes of data.
64 bytes from 118.43.205.85: icmp_seq=1 ttl=53 time=160 ms
64 bytes from 118.43.205.85: icmp_seq=2 ttl=53 time=159 ms
64 bytes from 118.43.205.85: icmp_seq=3 ttl=53 time=158 ms
64 bytes from 118.43.205.85: icmp_seq=4 ttl=53 time=158 ms
--- 118.43.205.85 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3000ms
rtt min/avg/max/mdev = 158.120/159.156/160.234/0.812 ms

# traceroute 118.43.205.85
traceroute to 118.43.205.85 (118.43.205.85), 30 hops max, 40 byte packets
1 (삭제)
2 (삭제)
3 (삭제)
4 (삭제)
5  211.48.63.25 (211.48.63.25)  144.201 ms  144.207 ms *
6  59.18.63.13 (59.18.63.13)  144.171 ms  144.325 ms  144.335 ms
7  59.18.52.21 (59.18.52.21)  146.309 ms  146.308 ms  146.289 ms
8  220.73.153.182 (220.73.153.182)  156.238 ms * *
9  118.43.245.22 (118.43.245.22)  156.716 ms  156.156 ms  156.378 ms
10  118.43.244.114 (118.43.244.114)  155.118 ms  155.106 ms  154.939 ms
11  125.143.210.190 (125.143.210.190)  155.716 ms  155.687 ms  155.477 ms
12  118.43.205.85 (118.43.205.85)  159.761 ms  159.839 ms  159.740 ms

선량한 시민이 어쩌다 바이러스에 걸려서... 자기도 모르게 바이러스를 옮기고 있는지도 모르니까 봐주려고 했는데, 일반 초고속인터넷을 사용하는 분들은 이렇게 ping과 traceroute가 깔끔하게 떨어지지 않거든... 게다가 너 113번 포트도 열려 있더라. 이건 아무래도 데스크탑이 아니라 전용선을 물려놓은 서버 같단 말이지. 너 해킹할 때 쓰는 전용서버니? 아니면 남의 서버를 몰래 사용하는 거니? IP 위치를 추적해 보니 제주도가 나오던데... 제주도에 다음커뮤니케이션 말고 또 뭐가 있더라?

하긴, 네가 바이러스 발송에 사용한 서버만큼이나... 그 바이러스를 중계해 준 메일서버도 열악해 보이더라. 211.206.120.177 이녀석 말이다. SPF 레코드가 -all 로 되어있는데도 네녀석의 메일을 냉큼 중계해 준 걸 보니 아무래도 정상적인 메일서버 같지는 않고, 네가 해킹에 사용하는 또다른 서버이거나, 아니면 어느 선량한 시민의 컴퓨터에 바이러스를 집어넣어 좀비로 만들어놓고 써먹는 것 같다.

근데 이 IP 주소도 참 웃겨. 자기 말로는 호스트네임이 test.top-class.co.kr 라고 하는데, 이 도메인의 IP 주소를 방금 확인해 본 결과 220.125.208.228 이라고 나오거든. 이건 정상적인 호스팅 서버야. 게다가 위의 IP는 하나로통신이고, 바뀐 IP는 한국통신인데... 제대로 된 메일서버의 호스트네임이 이렇게 왔다갔다할 수 있나? 너무 수상해. 딱 보니 스팸이야... 정체불명의 돼지고기 찌꺼기를 모아서 만든 느끼한 햄덩어리... (그래도 스팸은 돼지고기이니 다행이지. 만약 쇠고기였다면 그야말로 광우병 종합선물세트 아니었겠어?)

좋아, 스팸 냄새는 그렇다 치고... 네가 첨부해서 보낸 Mytob 바이러스(웜)에 대해 얘기를 해보자. 역사상 가장 악명을 떨쳤던 바이러스들 중 하나인 Mydoom 웜에다가 마찬가지로 악랄한 Zotob 웜을 결합시킨 작품이지. 실행하기만 하면 모든 백신 프로그램들을 무력화시킨 후, 포트 하나를 열어서 바이러스 제작자와 직통 연락망 개설. 물론 너는 그 직통 연락망을 통해 내 컴퓨터를 멋대로 조종할 생각이었겠지.

네가 먼저 바이러스에 걸리는 바람에 너도 모르게 전송된 거라고 핑계대지 마... 물론 Mytob 웜은 감염자의 주소록에 등록된 메일주소들을 수집하여 자동으로 전파되는 특성이 있긴 하지만, 나는 연합뉴스나 한국교육개발원의 어느 누구와도 지금껏 메일을 주고받은 일이 없거든? 그러니까 한국교육개발원의 B님이나 연합뉴스의 변모 기자님이 내 메일주소를 갖고 있을 리가 없다구... 그런 사람들이 118.43.205.85 서버를 이용하여 바이러스를 보낼 것 같지도 않고 말이다...

게다가 몇몇 보안업체 사이트를 뒤져보았지만 최근에 Mytob 바이러스가 유행이라는 것 같지도 않아. 제주도에서 발송된 스팸이 정체불명의 국내 메일서버를 거쳐, 한국인들에게 널리 전파되지도 않고, 오직 먼나라 이웃나라에 있는 이 조나단님의 메일주소로 직행했다는 말이지.

그러니까 이 바이러스는 특별히 나를 타겟으로 했던 거야. 의문의 여지가 없어...

내 컴퓨터에 백도어를 심어서 무얼 빼내고 싶었니? 내 IP 주소? 은행계좌 정보? 그 밖에 신원파악에 유용하게 사용할 수 있는 개인정보들? 아니면 네티즌망명지의 관리자 비밀번호? 아고라정의포럼에서 추진하고 있는 새 사이트의 소스코드? 누가 시켰는지는 모르겠지만... 참 고생이 많구나...

5/24 12:45 업데이트

이자슥들이 계속 바이러스를 보내네요. 계속 패턴을 찾아봅시다...

어제 17시 56분 똑같은 바이러스 (Mytob)

발신자 메일주소는 ******@ymail.com (조사결과 평범한 블로거의 메일주소를 도용한 것으로 보임)
발신자 IP는 118.43.205.85
메일서버 IP는 211.206.120.177

어제 21시 11분 똑같은 바이러스 (Mytob)

발신자 메일주소 없음 (이젠 남의 메일주소 도용하기도 귀찮다 이거지...)
발신자 IP도 없음 (메일서버에서 직접 발송한듯 : 발신자 IP가 localhost로 기재됨)
메일서버 IP는 211.206.120.177

오늘 09시 34분 다른 바이러스 (Win32/virut.a)

제가 다른 사람에게 보낸 메일처럼 위조하여, 저에게 반송되도록 만들었군요.

녀석들 실력이 좋아지고 있습니다. 혹시 저를 사칭하여 다른 분께 메일이 갈지도 모릅니다. 일단 의심스러울 경우 첨부파일을 조심하세요. 문제의 메일 발신자 IP는 220.123.121.61 입니다. ping과 traceroute가 모두 통합니다. 분당 정자동 KT본사에 등록된 IP입니다. 강남과 수도권 남부지역 초고속인터넷 가입자 같군요.

요주의 IP 다시 정리

118.43.205.85 - 스팸 발신지 (1) - 한국통신 유동 IP - 제주도로 추정
220.123.121.61 - 스팸 발신지 (2) - 한국통신 유동 IP - 수도권 지역으로 추정
211.206.120.177 - 스팸 발송에 사용된 의문의 메일서버 - 하나로통신

그 밖에 수상한 점

위에 녹색으로 표시된 메일서버는 자기 호스트네임이 test.top-class.co.kr 이라고 주장합니다. 그 도메인의 실제 IP 주소는 어제도 말했듯이 220.125.208.228 이고, 이 IP에는 수백 개의 도메인이 물려져 있습니다. 해당 IP로 연결되는 수많은 도메인들은 모두 어김없이 ns1.gaja79.com 을 네임서버로 사용하고 있는데, gaja79.com → zeromart.net 이렇게 자동으로 포워딩이 되고, 해당 도메인의 네임서버 설정도 위와 같으며, 이런 모든 도메인들은 동일인의 명의로 등록이 되어 있습니다. 어떤 도메인은 실명(?)이 나오고, 어떤 건 가명이군요. 등록된 주소는 일부는 대전, 일부는 서울 동작구 신대방동으로 되어 있는데, 신대방동 쪽이 좀더 최근으로 보입니다.

이 많은 도메인들을 소유하고 일부는 쇼핑몰에 연결, 일부는 판매한다고 광고하여 돈을 버는 이 분은 저에게 바이러스를 보낸 쥐색히에게 단순히 이용당한 걸까요? (남의 호스트네임이나 메일주소를 사칭하는 건 쉬우니...) 아니면 관련이 있는 사람일까요? (그러나 섣불리 의심하면 안돼요... 그게 해커의 의도일 수도 있으니...)

노무현님까지 죽인 이 설치류들이 참 가지가지로 발악을 하고 있습니다. 아고라의 유명논객과 몇몇 해외촛불님이 해킹을 당했다는 얘기는 들어서 알고 있었는데, 아정포 카페가 좀 알려지고, 제가 그 관련업무를 약간 맡고 있다는 사실이 알려지자 이번엔 저한테도 슬슬 태클이 들어오는군요.

아무튼 여러분.... 바이러스 주의합시다!

  1. 의심스러운 메일은 삭제한다.
  2. 의심스러운 첨부파일은 절대 클릭하지 않는다.
  3. P2P로 받은 파일은 반드시 철저하게 바이러스 검사를 한다.
  4. 바이러스가 자주 출몰하는 19금 및 와레즈 사이트 출입을 삼간다.
  5. 윈도우 업데이트를 꼬박꼬박 하고, 지금까지 나온 서비스팩을 모두 설치한다. (XP는 SP3, 비스타는 SP1까지 나왔음)
  6. 윈도우 방화벽이든 다른 회사 제품이든, 반드시 방화벽 프로그램을 사용한다.
  7. 윈도우 보안 센터의 경고문을 절대 무시하지 않는다. 보안 센터의 경고문을 해결하지 못할 바에야 차라리 인터넷선을 뽑아라.
  8. 익스플로러 6.0 사용자는 반드시 7.0 이상 버전으로 업그레이드하거나, 파이어폭스나 크롬으로 교체한다.
  9. 의심스러운 액티브X를 설치하지 않는다.
  10. 제대로 된 회사에서 나온 백신 프로그램을 사용하고, 매일 업데이트한다.
  11. 전문지식이 좀 있는 사람은 윈도우에서 리눅스로 교체를 고려한다.

태그 : 바이러스, 쥐색히

게시물 목록