악성코드 썸네일형 리스트형 7.7 DDoS 사태 최종 정리 내용변경 : 7/13 09:20 내용의 오류가 있어서 정정합니다. 대략 마무리 되어가는 추세인듯 싶습니다. 다른 변종이 나타나지 않은 이상... 지금까지 분석 내용들을 나름 정리해보면 다음과 같습니다. #01. C&C(명령제어)서버가 업는줄 알았는데 찾아보니 나오더라는... -_- 악성코드의 업데이트 서버를 추적하기 어렵게 다국적의 IP를 대역폭에 따라 랜덤하게 신호를 보내고 특정 C&C업데이트 서버임을 인증을 받는 형태라 쉽게 못찾았나 봅니다. #02. 이번 웜은 감염경로 등을 숨기기 위하여 참 많은 노력을 했었던 듯 싶습니다. 지가 Temp에 파일을 쓰고나서 파일 다시 생성하고 Temp 파일 지우고.. 하드디스크에 기록을 남기기 위해 특정파일들을 (복구 불가능하도록) 암호화 압축해서 지우고 MBR에 .. 해외에선 금번 DDoS는 myDoom 변종으로 판단 해외에선 금번 DDoS 공격을 하는 악성코드가 mydoom 소스의 변종으로 보고 있습니다. mydoom 웜 정보(http://threatinfo.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MYDOOM.EA&VSect=T)를 보면 유사하네요. 간단히 정리해보면 해당 웜은 아래 파일을 다운로드해서 파일내 코딩되어 있는 도메인으로 DDoS 공격을 시행합니다. %System%\{random characters}.nls 또한 아래 서비스를 실행합니다. WMI Performance Configuration WmiConfig 레지스트리에는 다음과 같은 키가 생성됩니다. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\ Services.. AhnLab 긴급경보 최고등급인 Level4로 격상 금번 DDoS 공격으로 인해 보안업계에 비상이 걸렸습니다. 금일 저녁까지만 해도 "주의" 수준의 등급이었으나 "긴급" 수준의 Level 4로 격상되었네요. 반면에 인터넷 침해 사고대응지원센터(KrCERT)에서는 "주의" 등급 수준입니다. 뉴스에도 충분히 보도가 되었으나 회사에서 실제 유해트랙픽을 발생하는 좀비 PC 감염자들과의 Contact 결과 거의 대부분이 인지하고 있지 않습니다. 현재 AhnLab에서 전용백신을 배포하고 있으며, 주요 백신 프로그램을 설치하고 계신 경우에는 최신 패치로 업데이트 하신 후 검사 및 치료를 반드시 수행하시길 바랍니다. 지금은 꼭 경고성의 공격일 뿐인듯한 오싹한 생각이 듭니다. 최악의 사태가 오지 않기 위해서라도 PC 사용자들께서 솔선수범해 주셔야 할 것입니다. 현재 기존.. 청와대,네이버,조선일보 등의 DDoS 공격 형태 분석 7월 7일 18시경부터 현재까지 청와대, 외교통상부, 네이버(메일), 조선일보 등의 웹사이트에 분산서비스거부공격으로 인한 접속 장애가 발생 중입니다. (☞ 관련기사 보기) 한국정보보호진흥원(KISA)의 분석보고서에 따르면 본 DDoS 공격은 Bot에 감염된 PC들에 의해 perfvwr.dll이 서비스로 등록되어 uregvs.nls에 하드 코딩된 웹사이트로 TCP GET Flooding 공격을 수행하고 있다고 합니다. ※ TCP GET Flooding 공격은 대규모 Traffic 유발은 아니며 Bandwidth보다 공격당하는 서버쪽의 Resource가 Full이 되어서 문제가 됨.금번 Bot은 콘트롤서버가 없이 특정 공격대상을 Bot의 코드내에 포함시켜놓은 경우라 일반적인 콘트롤서버의 주소를 찾아 이를 차.. 이전 1 다음
