출처 : 안철수연구소(http://www.ahnlab.com/kr/site/main/main.do)

안녕하십니까, 안철수연구소입니다.

최근 국내 웹사이트를 겨냥한 DDoS 공격 및 시스템 손상을 일으키는 악성코드가 발견되었습니다.


1. 안연구소 대응 현황

현재 DDoS 공격 및 시스템 손상을 일으키는 악성코드에 대해 V3 제품군에서는 아래와 같은 진단명으로 진단이 가능합니다.
 
Win-Trojan/Agent.131072.WL
Win-Trojan/Agent.11776.VJ
Win-Trojan/Agent.118784.AAU
Win-Trojan/Agent.40960.BOH
Win-Trojan/Agent.46432.D
Win-Trojan/Agent.71008
Win-Trojan/Npkon.10240
Trojan/Win32.Npkon
Trojan/Win32.Dllbot

2. 전용백신 제작 및 배포
현재 DDDoS 공격 예방 및 시스템 손상을 방지하기 위해 안철수연구소에서는 전용백신을 제작하여 배포하고 있습니다. 아래 링크에서 전용백신을 다운로드 하여 검사를 권장 드립니다. 추가로 V3 제품을 사용하시는 고객께서는 최신 엔진 버전으로 진단 및 치료할 수 있으며 새롭게 나오는 변형에 대해서도 예방이 가능합니다.

▶ 전용백신 다운로드 받기


 ◆ 개인 및 기업 일반 사용자분들은 좀비 PC 방지는 물론 안전한 컴퓨터 이용을 위해서는 사용자 환경에 맞는 백신을 설치하여 반드시 최신 엔진 업데이트를 실행하여 주시기 바랍니다.

 

- 개인용 무료 백신 : V3 Lite
- 방화벽과 백신이 통합된 유료 보안 서비스 : V3 365 클리닉
- 기업용 통합 보안 : V3 IS 8.0



안철수연구소는 ASEC(시큐리티대응센터)과 CERT(컴퓨터침해사고대응센터)를 비롯해 전사 비상 대응 체제를 지속 가동하는 한편 DDoS공격을 유발하는 악성코드에 대해 지속적인 대응을 하도록 하겠습니다.

감사합니다.


-----------------------------------------------------------------------------------------------------------

안철수연구소(대표 김홍선)는 분산서비스거부(DDoS) 공격이 국내 40개 웹사이트를 대상으로 4일 10시부터 발생하고 있으며, 같은 날 오후 6시 30분부터 재차 발생할 것이라고 예측했다.

이에 따라 안철수연구소는 ASEC(시큐리티대응센터)과 CERT(컴퓨터침해사고대응센터)를 비롯해 전사 비상 대응 체제를 가동하는 한편 DDoS공격을 유발하는 악성코드의 전용백신을 개발해 무료 제공한다.

이번 공격은 지난 2009년 7월 7일부터 9일까지 국내 17개 웹사이트를 겨냥한 7.7 디도스 대란 때와 유사하다.

공격 대상은 40개로 네이버, 다음, 옥션, 한게임, 디씨인사이드, 지마켓, 청와대, 외교통상부, 국가정보원, 통일부, 국회, 국가대표포털, 방위산업청, 경찰청, 국세청, 관세청, 국방부, 합동참모본부, 육군본부, 공군본부, 해군본부, 주한미군, 국방홍보원, 제8전투비행단, 방송통신위원회, 행정안전부, 한국인터넷진흥원, 안철수연구소, 금융위원회, 국민은행, 우리은행, 하나은행, 외환은행, 신한은행, 제일은행, 농협, 키움증권, 대신증권, 한국철도공사, 한국수력원자력이다.

디도스 공격을 유발하는 악성코드는 ntcm63.dll, SBUpdate.exe, ntds50.dll, watcsvc.dll, soetsvc.dll, mopxsvc.dll, SBUpdate.exe 등이다. 이들 악성코드가 설치된 PC는 이른바 ‘좀비 PC’가 되어 일제히 특정 웹사이트를 공격한다. 안철수연구소 보안전문가들은 지난 3일 첫 신고를 받아 분석한 결과, 공격 대상과 공격 시각을 파악했다. 동시에 좀비 PC를 최소화하기 위해 전용백신을 신속히 개발했다.

안철수연구소는 이들 악성코드를 진단/치료할 수 있는 긴급 전용백신(http://www.ahnlab.com/kr/site/download/vacc/downFile.do?file_name=v3removaltool.exe)을 개발해 개인은 물론 기업/기관에도 무료 제공 중이다. 개인용 무료백신 ‘V3 LIte’(http://www.V3Lite.com)를 비롯해 ‘V3 365 클리닉’(http://v3clinic.ahnlab.com/v365/nbMain.ahn), V3 Internet Security 8.0 등 모든 제품군 사용자는 사용 중인 제품의 최신 버전으로 진단/치료할 수 있다.

한편, 이들 악성코드는 디도스 공격 외에 V3 엔진 업데이트를 제공하는 인터넷 주소의 호스트 파일을 변조해 업데이트를 방해한다. 또한 PC내 문서 및 소스 파일을 임의로 압축하는 증상도 있다.

악성코드가 유포된 경로는 국내 P2P사이트인 셰어박스와 슈퍼다운인 것으로 밝혀졌다. 공격자는 이들 사이트를 해킹해 셰어박스 업데이트 파일과 슈퍼다운 사이트에 올려진 일부 파일에 악성코드를 삽입해 유포했다. 유포 시각은 3월 3일 07시~09시로 추정된다.

김홍선 안철수연구소 사장은 “운용체계의 보안 패치를 최신으로 유지하고, 백신 프로그램을 설치해 항상 최신 버전으로 상태에서 실시간 검사 기능을 켜두어야 한다”며 “이메일, 메신저의 첨부 파일이나 링크 URL을 함부로 열지 말고, P2P 사이트에서 파일을 내려받을 때 백신으로 검사하는 습관이 필요하다”고 강조했다.@

확인방법이라고 보는거 까지도 없을 정도로 단순한 원리...

단순이 공격시 사용된(보유한) 아이피와 조회한 사용자의 아이피가 같은지만 비교 해주는군요~

그래도 확인할수만 있다면~

보호나라 - http://www.boho.or.kr/pccheck/pcch_03.jsp?page_id=3

악성봇 으로 의심 되는 pc 인경우 adsl 환경으로 아이피가 유동적인 경우는 100% 확신 할수 없다네요

그도 그럴것이 처음에 얘기 했던거처럼 단순히 아이핀만 비교하는 과정이니~~

그래도 악성봇 대상 pc라면 ~ 되도록 가급적~ 포맷 -_-;;; (스스로 잡을 실력이 되신다면 처리하시구~)

되도록 포맷하시는게 좋겠네요 ㅋ

+ Recent posts

티스토리 툴바