Home > 전체기사

3.4 DDoS 공격 악성코드 PC 손상 주의해야

  |  입력 : 2011-03-04 19:01
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
안철수연구소, “40개 사이트 추가 공격 개시...별 피해 없어”


[보안뉴스 김정완] 안철수연구소(대표 김홍선)는 4일 오전 10시와 오후 6시 30분에 각각 29개, 40개 웹사이트를 대상으로 발생한 2차 공격이 모두 큰 피해가 없는 것으로 추정했다. 하지만 이후 재발 가능성이 있으므로 무료 전용백신 설치 등을 통해 ‘좀비PC’의 수를 줄이는 것이 관건이라고 밝혔다.


또한 안철수연구소는 국가정보원, 방송통신위원회, 한국인터넷진흥원(KISA)과 공동으로 분석한 결과, DDoS 공격을 유발하는 악성코드가 특정 조건 하에서 하드 디스크와 파일을 손상시킨다고 밝혔다. 이런 증상은 3가지 조건 하에서 발생한다.


우선 악성코드가 생성하는 noise03.dat 파일의 시각과 PC 시스템의 시각을 비교해 noise03.dat 파일의 시각보다 PC 시스템의 시각이 과거인 경우에 발생한다. 또한 noise03.dat 파일이 생성됐다 삭제된 경우와 noise03.dat 파일에 설정된 감염 날짜+특정일(4일 혹은 7일)이 지났을 경우에도 발생한다. 가령 noise03.dat 파일의 날짜가 3월 4일이고 PC 날짜가 3월 8일, 3월 11일 이후일 경우이다. 특정일은 공격자에 의해 0에서 10까지 변경 가능하므로 noise03.dat 파일의 날짜가 3월 4일이고 PC 날짜가 3월 14일 이후인 경우도 해당된다.


파일 손상의 경우 A~Z까지 모든 드라이브를 검색해 zip, c, h, cpp, java, jsp, aspx, asp, php, rar, gho, alz, pst, eml, kwp, gul, hna, hwp, pdf, pptx, ppt, mdb, xlsx, xls, wri, wpx, wpd, docm, docx, doc 파일들을 손상시킨다. 디스크 손상의 경우 A~Z까지 모든 고정 드라이브를 검색하여 시작부터 일정 크기만큼을 0으로 채워 디스크를 손상시킨다. 파일 손상은 이동식 디스크도 대상이며, 디스크 손상은 고정 디스크만 해당된다.


안철수연구소는 PC차원에서 DDoS 공격 유발 악성코드를 진단/치료할 수 있는 긴급 전용백신(http://www.ahnlab.com/kr/site/download/vacc/downFile.do?file_name=v3removaltool.exe)을 배포 중이며, 전용백신 다운로드 수는 4일 오후 6시 현재 25만여 건이다. 개인용 무료백신 ‘V3 라이트(www.V3Lite.com)’를 비롯해 ‘V3 365 클리닉(v3clinic.ahnlab.com/v365/nbMain.ahn)’, ‘V3 Internet Security 8.0’ 등으로도 진단·치료 기능을 제공한다. 또한 서버 차원에서 DDoS 공격을 막는 네트워크 보안 장비인 트러스가드 DPX, 트러스가드 제품군을 제공 중이다.


한편 안철수연구소는 국정원, 방통위, KISA 등과 긴밀한 협조와 정보 공유로 피해를 최소화했으며, 현재까지 V3제품군이 진단한 진단명은 다음과 같다.


<3월 4일 오전 10시 디도스 공격 유발 악성코드 파일명과 V3제품군의 진단명>

setup_filecity.exe : Win-Trojan/Ddosagent.20480

mdomsvc.dll : Win-Trojan/Ddosagent.71008

ntgg55.dll : Win-Trojan/Ddosagent.126976

rtdrvupr.exe : Win-Trojan/Ddosagent.16384

ssaxsvc.dll : Win-Trojan/Ddosagent.46416

wricsvc.dll : Win-Trojan/Ddosagent.42320

mdomsvc.dll : Win-Trojan/Ddosagent.71008

ntgg55.dll : Win-Trojan/Ddosagent.126976

rtdrvupr.exe : Win-Trojan/Ddosagent.16384

ssaxsvc.dll : Win-Trojan/Ddosagent.46416

wricsvc.dll : Win-Trojan/Ddosagent.42320


<3월 4일 오전 6시 30분 디도스 공격 유발 악성코드 파일명과 V3제품군의 진단명>

ntcm63.dll : Win-Trojan/Agent.131072.WL

SBUpdate.exe : Win-Trojan/Agent.11776.VJ

ntds50.dll : Win-Trojan/Agent.118784.AAU

watcsvc.dll : Win-Trojan/Agent.40960.BOH

soetsvc.dll : Win-Trojan/Agent.46432.D

mopxsvc.dll : Win-Trojan/Agent.71008

SBUpdate.exe : Win-Trojan/Npkon.10240

[김정완 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아이티스테이션 파워비즈모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 상반기 발생했던 보안 사건 가운데 가장 파급력이 컸던 이슈는 무엇이라고 보시나요?
솔라윈즈 사건
콜로니얼 파이프라인 사건
카세야 사건
익스체인지 서버 취약점 사건
원자력연구원/KAI 해킹 사건
국내 대기업 주요 정보 다크웹 유출 사건
기타(댓글로)