스톰 웜

비슷한 이름의 W32/Storm.worm에 관해서는 해당 문서를 참조하십시오.

이 웜에 감염된 머신으로 구성된 봇넷에 대해서는 스톰 봇넷 문서를 참고하십시오.

스톰 웜(Storm Worm, 핀란드 기업 F-시큐어가 명명)은 백도어 트로이 목마의 하나로서, 마이크로소프트 운영 체제를 사용하는 컴퓨터에 영향을 주며, 2007년 1월 17일 발견되었다. 이 웜의 다른 이름은 다음과 같다:

• Small.dam 또는 Trojan-Downloader.Win32.Small.dam (F-시큐어)
• CME-711 (MITRE)
• W32/Nuwar@MM, Downloader-BAI (특정 유형) (맥아피)
• Troj/Dorf, Mal/Dorf (Sophos)
• Trojan.DL.Tibs.Gen!Pac13
• Trojan.Downloader-647
• Trojan.Peacomm (시만텍)
• TROJ_SMALL.EDW (트렌드 마이크로)
• Win32/Nuwar (ESET)
• Win32/Nuwar.N@MM!CME-711 (윈도우 라이브 원케어)
• W32/Zhelatin (F-시큐어, 카스퍼스키)
• Trojan.Peed, Trojan.Tibs (비트디펜더)

원래 유럽의 폭풍 Kyrill에 관한 메시지에서 전파된 스톰 웜은 다음의 이메일 제목으로 되어있다:

• How To Get So HARD
• A killer at 11, he's free at 21 and kill again!
• U.S. Secretary of State Condoleezza Rice has kicked German Chancellor Angela Merkel
• British Muslims Genocide
• Naked teens attack home director.
• 230 dead as storm batters Europe.(Where the worm got its name from)
• Re: Your text
• Radical Muslim drinking enemies's blood.
• Chinese/Russian missile shot down Russian/Chinese satellite/aircraft
• Saddam Hussein safe and sound!
• Saddam Hussein alive!
• Venezuelan leader: "Let's the War beginning".
• Fidel Castro dead.
• If I Knew
• FBI vs. Facebook

첨부 파일을 열면 악성 소프트웨어가 wincom32 서비스를 설치하고 페이로드를 주입하고 패킷을 악성 소프트웨어 자체 내에 인코딩된 위치로 전달한다. 시만텍에 따르면 Trojan.Abwiz.F trojan, W32.Mixor.Q@mm 웜을 다운로드하고 실행할 수 있다. 첨부파일의 알려진 이름 중 일부는 다음과 같다:

• Postcard.exe
• ecard.exe
• FullVideo.exe
• Full Story.exe
• Video.exe
• Read More.exe
• FullClip.exe
• GreetingPostcard.exe
• MoreHere.exe
• FlashPostcard.exe
• GreetingCard.exe
• ClickHere.exe
• ReadMore.exe
• FlashPostcard.exe
• FullNews.exe
• NflStatTracker.exe
• ArcadeWorld.exe
• ArcadeWorldGame.exe

나중에 F-Secure가 확인한 바에 따르면 이 악성 소프트웨어는 "Love birds", "Touched by Love"와 같은 제목을 확산시키기 시작했다. 이 이메일들은 다음의 파일 중 일부를 호스팅하는 웹사이트로 연결되며 바이러스가 포함된 것으로 확인되었다:

• with_love.exe
• withlove.exe
• love.exe
• frommetoyou.exe
• iheartyou.exe
• fck2008.exe
• fck2009.exe