출처 : 안철수연구소(http://www.ahnlab.com/kr/site/main/main.do)

안녕하십니까, 안철수연구소입니다.

최근 국내 웹사이트를 겨냥한 DDoS 공격 및 시스템 손상을 일으키는 악성코드가 발견되었습니다.


1. 안연구소 대응 현황

현재 DDoS 공격 및 시스템 손상을 일으키는 악성코드에 대해 V3 제품군에서는 아래와 같은 진단명으로 진단이 가능합니다.
 
Win-Trojan/Agent.131072.WL
Win-Trojan/Agent.11776.VJ
Win-Trojan/Agent.118784.AAU
Win-Trojan/Agent.40960.BOH
Win-Trojan/Agent.46432.D
Win-Trojan/Agent.71008
Win-Trojan/Npkon.10240
Trojan/Win32.Npkon
Trojan/Win32.Dllbot

2. 전용백신 제작 및 배포
현재 DDDoS 공격 예방 및 시스템 손상을 방지하기 위해 안철수연구소에서는 전용백신을 제작하여 배포하고 있습니다. 아래 링크에서 전용백신을 다운로드 하여 검사를 권장 드립니다. 추가로 V3 제품을 사용하시는 고객께서는 최신 엔진 버전으로 진단 및 치료할 수 있으며 새롭게 나오는 변형에 대해서도 예방이 가능합니다.

▶ 전용백신 다운로드 받기


 ◆ 개인 및 기업 일반 사용자분들은 좀비 PC 방지는 물론 안전한 컴퓨터 이용을 위해서는 사용자 환경에 맞는 백신을 설치하여 반드시 최신 엔진 업데이트를 실행하여 주시기 바랍니다.

 

- 개인용 무료 백신 : V3 Lite
- 방화벽과 백신이 통합된 유료 보안 서비스 : V3 365 클리닉
- 기업용 통합 보안 : V3 IS 8.0



안철수연구소는 ASEC(시큐리티대응센터)과 CERT(컴퓨터침해사고대응센터)를 비롯해 전사 비상 대응 체제를 지속 가동하는 한편 DDoS공격을 유발하는 악성코드에 대해 지속적인 대응을 하도록 하겠습니다.

감사합니다.


-----------------------------------------------------------------------------------------------------------

안철수연구소(대표 김홍선)는 분산서비스거부(DDoS) 공격이 국내 40개 웹사이트를 대상으로 4일 10시부터 발생하고 있으며, 같은 날 오후 6시 30분부터 재차 발생할 것이라고 예측했다.

이에 따라 안철수연구소는 ASEC(시큐리티대응센터)과 CERT(컴퓨터침해사고대응센터)를 비롯해 전사 비상 대응 체제를 가동하는 한편 DDoS공격을 유발하는 악성코드의 전용백신을 개발해 무료 제공한다.

이번 공격은 지난 2009년 7월 7일부터 9일까지 국내 17개 웹사이트를 겨냥한 7.7 디도스 대란 때와 유사하다.

공격 대상은 40개로 네이버, 다음, 옥션, 한게임, 디씨인사이드, 지마켓, 청와대, 외교통상부, 국가정보원, 통일부, 국회, 국가대표포털, 방위산업청, 경찰청, 국세청, 관세청, 국방부, 합동참모본부, 육군본부, 공군본부, 해군본부, 주한미군, 국방홍보원, 제8전투비행단, 방송통신위원회, 행정안전부, 한국인터넷진흥원, 안철수연구소, 금융위원회, 국민은행, 우리은행, 하나은행, 외환은행, 신한은행, 제일은행, 농협, 키움증권, 대신증권, 한국철도공사, 한국수력원자력이다.

디도스 공격을 유발하는 악성코드는 ntcm63.dll, SBUpdate.exe, ntds50.dll, watcsvc.dll, soetsvc.dll, mopxsvc.dll, SBUpdate.exe 등이다. 이들 악성코드가 설치된 PC는 이른바 ‘좀비 PC’가 되어 일제히 특정 웹사이트를 공격한다. 안철수연구소 보안전문가들은 지난 3일 첫 신고를 받아 분석한 결과, 공격 대상과 공격 시각을 파악했다. 동시에 좀비 PC를 최소화하기 위해 전용백신을 신속히 개발했다.

안철수연구소는 이들 악성코드를 진단/치료할 수 있는 긴급 전용백신(http://www.ahnlab.com/kr/site/download/vacc/downFile.do?file_name=v3removaltool.exe)을 개발해 개인은 물론 기업/기관에도 무료 제공 중이다. 개인용 무료백신 ‘V3 LIte’(http://www.V3Lite.com)를 비롯해 ‘V3 365 클리닉’(http://v3clinic.ahnlab.com/v365/nbMain.ahn), V3 Internet Security 8.0 등 모든 제품군 사용자는 사용 중인 제품의 최신 버전으로 진단/치료할 수 있다.

한편, 이들 악성코드는 디도스 공격 외에 V3 엔진 업데이트를 제공하는 인터넷 주소의 호스트 파일을 변조해 업데이트를 방해한다. 또한 PC내 문서 및 소스 파일을 임의로 압축하는 증상도 있다.

악성코드가 유포된 경로는 국내 P2P사이트인 셰어박스와 슈퍼다운인 것으로 밝혀졌다. 공격자는 이들 사이트를 해킹해 셰어박스 업데이트 파일과 슈퍼다운 사이트에 올려진 일부 파일에 악성코드를 삽입해 유포했다. 유포 시각은 3월 3일 07시~09시로 추정된다.

김홍선 안철수연구소 사장은 “운용체계의 보안 패치를 최신으로 유지하고, 백신 프로그램을 설치해 항상 최신 버전으로 상태에서 실시간 검사 기능을 켜두어야 한다”며 “이메일, 메신저의 첨부 파일이나 링크 URL을 함부로 열지 말고, P2P 사이트에서 파일을 내려받을 때 백신으로 검사하는 습관이 필요하다”고 강조했다.@

 

Win-Trojan/Agent (DDoS 악성코드 전용백신)
치료 가능한 바이러스
* 실행 전 주의 및 참고 사항은 다음과 같습니다.

1. 본 전용백신은 DDoS 공격에 사용된 악성코드를 진단/치료 합니다.

2. 전용백신 실행 전 작업중인 데이타는 반드시 저장하시고, 전용백신 이외에 다른 응용 프로그램은 반드시 종료하시기 바랍니다. 또한 전용백신의 동작중 다른 응용 프로그램의 실행은 가급적 권장 하지 않습니다.

3. 전용백신은 반드시 "관리자 권한" 으로 실행 되어야 합니다.

4. 작업이 끝나면 팝업 메뉴에 따라 반드시 시스템을 재부팅 해주시길 바랍니다. 일부 시스템에서는 재부팅 팝업창이 출력 되지 않습니다. 이 경우 시스템을 재부팅 하지 않아도 됩니다.

- 전용백신은 본 악성코드를 진단 / 치료하는 기능만 제공되며 예방하는 기능은 제공되지 않습니다.

다운로드 링크 : http://kr.ahnlab.com/downLoadFreeVaccine.ahn?filename=v3filecleanex.exe
출처 : 안철수 연구소 2009-07-09

'퍼담기' 카테고리의 다른 글

STARCRAFT2  (0) 2009.08.17
Marry Me  (0) 2008.12.29
MS 윈도우7 공개  (0) 2008.10.30

 

Win32/AimBot.worm.15872
 
최초 입력시간 : 2009. 02. 10 16:32 (GMT+9) 최종 수정시간 : 2009. 02. 11 00:09 (GMT+9)
위험도
높음 매우높음 높음 보통

다른이름 Win-Trojan/Agent.15872.KM, Virus.Win32.PureMorph!IK, Win32:PureMorph, Generic12.BMBL, Trojan.Win32.Inject.oqw, Virus.Win32.PureMorph, Trojan/W32.Agent.15872.AY, Trojan.Win32.Crypt.15872.B 
생성 파일명 7673010, 20410.sys, system.exe
대표적 증상 시스템 관련, 네트워크 관련, 보안상 위험, 네트워크 트래픽 발생, 사용자 정보 유출
활동 플랫폼 윈도우 감염/설치 경로 네트워크, 보안취약점
종류 웜, 백도어 형태 실행파일
들어오는 포트 나가는 포트
제작국 불분명 특정활동일 특정일 활동 없음
최초 발견일 2009-02-09 (현지시각 기준) 국내 발견일 2009-02-09
  증상 및 요약
Win32/Aimbot.worm.15872 는 Win32/IRCBot.worm의 변형 중 하나이다. 웜이 실행되면 윈도우 시스템 폴더에 system.exe와 템프 폴더에 5자리 숫자를 가진 랜덤한 파일명.sys를 생성한다. 그리고 특정 IRC 서버의 채널에 접속하여 오퍼(방장)가 내리는 명령에 따라 다양한 악의적인 기능을 수행하게 된다. 
  상세정보
* 전파 경로

윈도우 서버 서비스 관련 취약점(MS08-067)또는 오래전에 알려진 RPC DCOM (MS03-039) 취약점 코드가 포함 되어 있다. 그러나 스스로 전파하는 기능은 없고 특정 호스트에 접속후 공격자의 명령에 의해서만 취약점을 이용하여 전파 되는 것으로 보인다. 이 부분은 추후 분석이 완료되는대로 업데이트 될 예정이다.

네트워크 드라이브나 USB 플래쉬 메모리를 통해 전파되며 악성코드 파일(explorer.exe)와 autorun.inf 파일을 생성한다.


* 실행 후 증상

[파일 생성]

윈도우 시스템 폴더에 랜덤한 7자리 숫자로 된 파일명을 갖는 파일을 생성하는데 악성코드 복사본이다.

주) 윈도우 시스템 폴더는 사용 윈도우에 따라 다르며 보통 윈도우 95/98/ME는 C:\Windows\System, 윈도우 NT/2000은 C:\WinNT\System32, 윈도우 XP는 C:\Windows\System32 폴더이다.

* Win32/AimBot.worm.15872 증상 *

실행되는 파일명이 system 이라면 시스템 시간을 2090년 1월 1일로 변경하지 않는다. 다만 "system"이 아닌 다른 이름으로 실행하면 시스템 시간을 2090년 1월 1일로 설정한다. 그리고 윈도우 방화벽 허용 리스트에 자신을 등록해둔다.

부팅 후 자동실행 되기 위해서 다음 레지스트리 값을 생성 시킨다. 해당 레지스트리키는 악성코드가 실행 중 일 때는 접근 할 수가 없다.

Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon

그리고 7자리 난수를 발생시켜 system32 폴더에 자기 자신을 복사 해둔다. 5자리 난수를 발생시켜 C:\Documents and Settings\(사용자 계정)\Local Settings\Temp 에 sys 파일을 생성한다.

또한 악성코드는 다음과 같은 쓰레드를 생성하는데 하는 증상은 다음과 같다.

- 외부로 부터 메시지를 받기 위한 쓰레드(Thread) 생성
- sex.(제거됨).com에 접속하기 위한 쓰레드 생성
- 자신이 생성한 Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon 키 값의 변화를 감지하여 키 값을 삭제 혹은 변경하였을 경우 다시 원래대로 복구한다.

위에서 언급한 랜덤한 5자리 숫자로 된 파일명을 갖는 sys 파일을 생성하는데 V3에서 Win-Trojan/Agent.4096.EI 으로 진단된다.

주) 템프 폴더는 C:\Documents and Settings\사용자 계정명\Local Settings\Temp 폴더이다.


* Win-Trojan/Agent.4096.EI 의 증상 *

1. 다음의 시스템의 네트워크 디바이스에 Attach된 모니터링 드라이버를 제거한다.
Tcpip, Udp, Tcp, IPMULTICAST, Ip
- 방화벽이나 패킷모니터등의 네트워크 감시모듈을 제거한다.

2. ntoskrnl.exe의 Unknown 윈도우보안 함수를 후킹하여 레지스트리의 보안키에 대한 접근을 모니터링하며 Winlogon 프로세스가 호출한 경우 원본함수 호출하지 않는다.
\Registry\Machine\Security\Policy\Secrets\
- 위 레지스트리는 시스템의 사용자계정과 패스워드등의 중요 보안정보를 백업하는 중요키이며, 일반적인 레지스트리 편집기로는 해당 내용을 볼 수 없다. 레지스트리 편집기에는 HKLM\SECURITY 까지만을 확인할 수 있다.

3. \Driver\Atapi 디바이스의 DriverStartIo 함수를 후킹한다.
- 파일시스템 드라이버 입출력시 악성코드 드라이버 모듈 및 레지스트리를 은닉 하도록 한다.

4. ntoskrnl.exe의 IoCallDriver 함수를 후킹한다.
- 해당함수 후킹을 통하여 자신의 파일에 대한 보호한다.

- 시스템 시간을 2090년 1월 1일로 변경한다.

* 기타 증상 *

시스템에 따라서 악성코드가 실행 될 때 블루스크린(BSOD)가 발생 될 수 있다. 이후 같은 증상으로 시스템이 정상적으로 부팅 되지 않을 수 있다. 또한 윈도우 로그온 화면에서 정상적인 로그온을 하지 못하고 시스템이 계속적으로 재부팅 될 수 있다.





Win32/AimBot.worm.15872
치료 가능한 바이러스
* 실행 전 주의 및 참고 사항은 다음과 같습니다.

1. 본 전용백신은 다음과 같은 악성코드만을 진단/치료 합니다.

- Win32/AimBot.worm.15872
- Win-Trojan/Agent.4096.EI

2. 전용백신 실행 전 작업중인 데이타는 반드시 저장하시고, 전용백신 이외에 다른 응용 프로그램은 반드시 종료하시기 바랍니다. 또한 전용백신의 동작중 다른 응용 프로그램의 실행은 가급적 권장 하지 않습니다. 그리고 중요한 시스템이라서 안정성이 중시되는 경우 해당 전용백신의 실행을 가급적 권장 하지 않습니다. 본 전용백신은 악성코드의 자기보호 기능을 무력화하는 과정에서 일부 시스템에서는 예상하지 못한 문제가 발생 할 수도 있습니다.

3. 본 전용백신은 악성코드의 자기보호 기능을 무력화 하기 위해서 일련의 작업을 합니다. 이 과정에서 시스템에 따라서 5 ~ 10 초 정도 시간이 소요 됩니다. 따라서 전용백신을 실행 후 또는 검사시작 버튼을 누른 후 또는 치료과정중 일정 시간이 소요 됩니다.

4. 본 전용백신은 다음과 같은 윈도우 OS (32Bit) 에서만 정상적으로 동작 합니다. 따라서 다음 윈도우들의 64Bit 버전에서는 정상동작 하지 않습니다.

- 윈도우 2000 (SP0 ~ SP4)
- 윈도우 XP (SP0 ~ SP3)
- 윈도우 2003 (SP1 ~ SP2, No Service Pack 은 지원 하지 않음)
- 윈도우 비스타 (SP0 ~ SP1)

5. 전용백신은 반드시 "관리자 권한" 으로 실행 되어야 합니다.

6. 작업이 끝나면 팝업 메뉴에 따라 반드시 시스템을 재부팅 해주시길 바랍니다.

출처 : http://kr.ahnlab.com

'정보공유' 카테고리의 다른 글

Internet Explorer 8  (0) 2009.03.21
V3 lite  (0) 2009.02.02
.pe.kr 도메인 2년 무료 등록!!  (0) 2008.12.11

 

+ Recent posts