해외에선 금번 DDoS는 myDoom 변종으로 판단

해외에선 금번 DDoS 공격을 하는 악성코드가 mydoom 소스의 변종으로 보고 있습니다.

mydoom 웜 정보(http://threatinfo.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MYDOOM.EA&VSect=T)를 보면 유사하네요.

간단히 정리해보면

해당 웜은 아래 파일을 다운로드해서 파일내 코딩되어 있는 도메인으로 DDoS 공격을 시행합니다.

• %System%\{random characters}.nls

또한 아래 서비스를 실행합니다.

• WMI Performance Configuration
• WmiConfig

레지스트리에는 다음과 같은 키가 생성됩니다.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\WmiConfig
Description = "Configures and manages performance library information from WMMI HiPerf providers."
DisplayName = "WMI Performance Configuration"
ErrorControl = "1"
ImagePath = "%System Root%\system32\svchost.exe -k wmiconf"
ObjectName = "LocalSystem"
Start = "2"
Type = "120"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\WmiConfig\Parameters
ServiceDll = "%System%\wmiconf.dll"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\WmiConfig\Security
Security = "{binary values}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Svchost\
wmiconf = "WmiConfig"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
EnableFirewall = "0"

마지막으로 아래와 같은 네트워크 분석툴 파일들을 삭제한다고 합니다.

• %System%\drivers\npf.sys
• %System%\maus.dl_
• %System%\maus.dll
• %System%\netlmgr.dll
• %System%\npptools.dll
• %System%\ntmpsvc.dll
• %System%\packet.dll
• %System%\perfb093.dat
• %System%\regscm.dll
• %System%\ssdpupd.dll
• %System%\sysvmd.dll
• %System%\Wanpacket.dll
• %System%\wpcap.dll

그리고 2차 공격이 시행된 변종 악성코드의 특성과 일치하는 메일 발송도 포함되어 있네요.
현재 변종 악성코드도 아래와 같이 메일을 발송한다고 합니다.
혹시 아래와 같은 메일이 발송이 된다면 절대 열어보지 마시기 바랍니다.(※ 발신자 정보나 제목등의 내용이 변경되어 발송할 수도 있습니다.)

현재 방통위원장이 각 ISP의 보안관제실을 방문한다고 하네요. 한참 바쁘게 움직이는데 정부 고위직이 방문한다니.. 흠.. -_-