상세 컨텐츠

본문 제목

[특집] - 3.3 DDoS 악성코드 정리 by 이스트소프트 알약

STORY

by ESTsoft 2011. 3. 9. 10:12

본문

지난 3월 3일부터 국내 40개 주요 웹사이트를 대상으로 DDOS공격을 감행하는 악성코드가 발견되어 나흘간 국내 보안업계에 초 비상이 걸렸다.

공격자는 보안이 취약한 다수의 웹하드 서버를 해킹한 뒤, 웹하드 클라이언트 프로그램의 설치모듈에 악성코드를 추가해 사용자가 웹하드 프로그램을 설치하거나 업데이트를 실행할 때 악성코드가 함께 설치되도록 하는 유포 수법을 사용한 것으로 확인되었다.

사용자가 신뢰하는 서비스를 해킹하여 악성코드를 넣어두는 이러한 유포방식은 결국, 사용자가 악성코드를 직접 다운받아 설치하는 것 이므로 보안관리가 잘 되어있는 PC에서도 감염을 막기가 어려워 보안이 취약한 인터넷 서비스업체의 관리 등 대책이 요구되고 있다.

이번 악성코드는 명령을 전달받는 C&C서버에 접속이 차단되더라도 미리 정해진 스케줄에 의해 공격을 가하는 등 2009년에 발생했던 7.7 DDOS 사건과 매우 유사하게 전개되었다.

더욱 정교해진 이번 악성코드는 설치일로부터 7일이 지나거나 서버로부터 명령을 받을 경우, 하드디스크를 파괴하는 기능을 가지고 있어 피해를 최대화 하도록 프로그래밍되어 있었으며, 국내에서 점유율이 높은 주요 백신들의 업데이트를 방해하는 기능도 포함이 되어있다.

악성코드에 의해 파괴된 하드디스크는 정상적인 부팅이 불가능하다

8일 15:00시, 상황이 진정국면으로 돌아서는 상태이며, 이스트소프트는 이번 공격에 대한 상세내용을 종합보고서로 작성하여 발표하였다.

3.3 DDoS 악성코드 관계도, 분석보고서 중


감염을 예방하려면 PC사용자는 가급적 신뢰도가 떨어지는 프로그램을 설치하지 말아야 하며 새로운 프로그램을 설치하는 경우, 백신의 실시간 감시를 활성화하고 반드시 파일을 백신으로 검사해 안전한 파일인 지 확인한 뒤 실행하여야 한다.
(보다 자세한 내용은 3.3DDoS 분석보고서를 참조하시기 바랍니다)

3.3 DDoS 분석보고서 보러가기

3.3 DDoS - 알약 긴급대응 내역

[3/3 목]

- 해킹된 웹하드 서비스를 통해 DDoS 공격 파일 유포
- 1차 DB업데이트 - 주요 웹사이트 DDOS공격 스케줄 내장. 설치 7일 뒤 하드디스크를 파괴함


Backdoor.DllBot.gen(V.BKD.DllBot.gen) meitsvc.dll
Backdoor.DllBot.gen(V.BKD.DllBot.gen) wsfcsvc.dll
Trojan.Agent.docCrypt(V.TRJ.Agent.docCrypt) sfofsvc.dll

host 파일 변조
127.0.0.1 explicitupdate.alyac.co.kr
127.0.0.1 gms.ahnlab.com
127.0.0.1 ko-kr.albn.altools.com
127.0.01 ko-kr.alupdatealyac.altools.com
127.0.0.1 su.ahnlab.com
127.0.0.1 su3.ahnlab.com
127.0.0.1 update.ahnlab.com
127.0.0.1 ahnlab.nefficient.co.kr


[3/4 금]

- 2차 DB업데이트

Trojan.Downloader.Agent.33D(V.DWN.Agent.33D) SBUpdate.exe
Trojan.Downloader.Agent.33D(V.DWN.Agent.33D) filecity.exe
Trojan.Downloader.Agent.33D(V.DWN.Agent.33D) bobo.exe
Backdoor.DllBot.gen(V.BKD.DllBot.gen) tlntwye.dat
Backdoor.DllBot.gen(V.BKD.DllBot.gen) tljoqgv.dat
Backdoor.DllBot.gen(V.BKD.DllBot.gen) noise03.dat
Trojan.Agent.hosts(V.TRJ.Agent.hosts) rtdrvupr.exe
Trojan.Dropper.Agent.nthost(V.DRP.Agent.nthost) host.dll
Trojan.Dropper.Agent.nthost(V.DRP.Agent.nthost) ntcm63.dll

- 트위터를 통한 임시 보안공지

- 3차 DB업데이트

Trojan.Agent.hosts(V.TRJ.Agent.hosts) rtdrvupr.exe
Trojan.Dropper.Agent.nthost(V.DRP.Agent.nthost) ntgg55.dll
Backdoor.DllBot.gen(V.BKD.DllBot.gen) wricsvc.dll
Backdoor.DllBot.gen(V.BKD.DllBot.gen) mdomsvc.dll
Trojan.Agent.docCrypt(V.TRJ.Agent.docCrypt) ssaxsvc.dll

- 보안공지 최초 업데이트 - 국내 주요 웹사이트에 대한 DDOS 공격 악성코드 주의

- 1차 전용백신 업데이트

- 2차 전용백신 업데이트

- 보안공지 내용 업데이트 - 문서파일 및 디스크삭제 주의

- 3차 전용백신 업데이트 - Host 변조 탐지기능 추가

- 4차 DB 업데이트

Trojan.Dropper.Agent.nthost(V.DRP.Agent.nthost) ntgg55.dll

- 4차 전용백신 업데이트

- 포털사이트 다음 메인페이지에 알약 전용백신 게시됨

- 5차 DB업데이트

Trojan.Dropper.Agent.nthost (V.DRP.Agent.nthost) zxcv.exeTrojan.Downloader.Agent.33D(V.DWN.Agent.33D) SBUpdate.exeTrojan.Downloader.Agent.33D(V.DWN.Agent.33D) SBUpdate.exe

- 5차 전용백신 업데이트

- 6차 DB업데이트 - 탐지 파일명 일부 수정

- 6차 전용백신 업데이트


[3/5 토]

- 7차 DB업데이트

Backdoor.DllBot.gen(VBKD.DllBot.gen) messsvc.dll
Backdoor.DllBot.gen(V.BKD.DllBot.gen) wtvtsvc.dll
Trojan.Downloader.Agent.33D(V.DWN.Agent.33D) setup.exe
Trojan.Dropper.Agent.nthost(V.DRP.Agent.nthost) svki65.dll

- 7차 전용백신 업데이트

- 8차 DB업데이트

Trojan.Downloader.Agent.33D(V.DWN.Agent.33D) newsetup2.exe

- 8차 전용백신 업데이트


[3/6 일]

- 디스크 즉시 파괴공격 대응 시작

- 보안공지 내용 업데이트 - C&C 서버에서 하드디스크 즉시 파괴 명령 하달

- 알약 팝스킨 및 메인베너 광고를 통한 긴급공지 전달

- 알약 홈페이지 팝업공지 게시

- 9차 DB업데이트 - 하드디스크를 즉시 파괴함

Trojan.Dropper.docCrypt(V.DRP.docCrypt) muropc.exe
Trojan.Agent.docCrypt(V.TRJ.Agent.docCrypt) xmldproc.dll
Trojan.Downloader.Agent.33D(V.DWN.Agent.33D) setup.exe
Trojan.Agent.hosts(V.TRJ.Agent.hosts) jzsltpcy.exe
hosts 파일변조
127.0.0.1
www.alyac.co.kr
127.0.0.1 www.boho.or.kr
127.0.0.1 download.boho.or.kr
127.0.0.1
www.ahnlab.com

- 9차 전용백신 업데이트

- 10차 전용백신 업데이트 - Host 변조 탐지기능 강화

- 11차 전용백신 업데이트 - 전용백신 버전 표기

- 알약 프로그램 업데이트 - Host 변조 탐지기능 강화

 알약 1.54 공개용 업데이트 및 셋업 교체
 알약 1.54 기업용/PC방용 업데이트
 알약 2.5.0.5 기업용 업데이트 및 셋업 교체
 알약 2.0 공개용 업데이트 및 셋업 교체


[3/7 월]

- 3.3 DDoS 악성코드 분석 보고서 발표

- 12차 DB 업데이트 - 하드디스크를 즉시 파괴함

Trojan.Dropper.docCrypt(V.DRP.docCrypt) ltkreiaj.exe
Trojan.Agent.docCrypt(V.TRJ.Agent.docCrypt) termproc.dll

- 12차 전용백신 업데이트

관련글 더보기

댓글 영역