Skip to content

보안공지

국내 DDoS 공격으로 인한 긴급 주의보

 

1. 개요
2. 기술세부사항

관련링크 :


1. 개요

악성코드는 디도스공격을 유발함과 동시에 사용자 컴퓨터 시스템 등 주요파일을 손상시킨 후 PC 부팅 및 데이터복구를 불가능한 상태로 만들어 피해 정도가 매우 심각합니다.

Safe Surfing - protect your identity and banking information

3.3 디도스 공격은 공격자에 의해 악성 사이트에 접속하였을 때 사용자가 인지하지 못하게 악성코드를 다운로드하게 되고 컴퓨터 시스템의 운영자가 모르는 사이에 해킹의 숙주로 이용되는 좀비PC를 만들게 됩니다. 이렇게 만들어진 좀비PC들은 해커의 명령에 따라 공격 목표인 웹사이트의 컴퓨터시스템이 처리할 수 없을 정도로 엄청난 분량의 패킷을 동시에 범람시킴으로써 네트워크의 성능을 저하시키거나 시스템을 마비시킵니다.
이로써 웹사이트를 방문하는 이용자는 정상적으로 접속할 수 없는 것은 물론 사용자 컴퓨터의 기능에 치명적 손상을 입을 수 있습니다. 3월 6일부터 약 580개의 C&C 서버에서 즉시 하드디스크를 파괴하라는 명령이 하달되어 시스템 파괴하도록 설계되어 있습니다.

악성코드는 사용자 PC에 존재하는 문서파일 등 주요파일을 손상시킨 후 PC 부팅 및 데이터복구를 불가능한 상태로 만들어 피해 정도가 매우 심각합니다. 고객님들께서는 모든 PC에 대하여 감염 가능성을 두고 전용백신을 다운로드 하신 후 치료하여 주시기 바랍니다.

트렌드마이크로 백신 제품을 사용중인 고객:
트렌드마이크로 백신 제품을 사용 중인 고객께서는 예약 업데이트 및 수동 업데이트를 통하여 패턴 7.881.00 이상으로 업데이트 되었는지 확인하시기 바랍니다.

추가적으로 발견된 변종을 포함한 TROJ_QDDOS.A 는 아래의 링크로부터 다운로드 받을 수 있는 패턴 7.881.00이상에서 진단이 가능합니다.

[트렌드마이크로 최신 패턴 파일 다운로드]

OfficeScan 기업용 백신 프로그램을 사용 중인 경우, 중앙관리 서버가 업데이트되면 에이전트들에 자동 배포가 수행됩니다.

TMS 고객들은 바이러스 패턴과 네트워크 탐지 룰이 이미 최신으로 자동 업데이트되어 있으므로 업데이트 여부를 체크하시기 바랍니다.


트렌드마이크로 백신 제품을 사용하지 않는 고객:
트렌드마이크로 백신을 사용하지 않는 고객의 경우 트렌드마이크로의 온라인 무료백신(하우스콜)을 이용하여 치료할 수 있습니다.

아래 링크를 클릭하신 후 트렌드마이크로 온라인 무료 백신(하우스콜)의 사용 방법을 참고하시어 치료하시기 바랍니다.
 


발견된 TROJ_QDDOS.A 및 변종 진단명은 다음과 같습니다.
TROJ_QDDOS.A
TROJ_QDDOS.SMC
TROJ_QDDOS.SMD
TROJ_QDDOS.SME
TROJ_QDDOS.SMF

확보되는 샘플에 따라서, 계속 진단명은 추가될 수 있습니다.

 

2. 기술세부사항

사용되는 포트 : UDP port 80 (HTTP),TCP Port 443
파일 사이즈 : Varies
파일 타입 : PE
메모리 상주 여부: 유
샘플 접수 : 2011년 3월 4일
증상 : 파일 삭제, 파일 다운로드, 도스/디도스 공격, 호스트 파일 변조, 정보 유출, HDD 파괴 등

세부사항
악성코드에 의한 파일 드롭 형태로 시스템에 침투하거나, 사용자가 악성코드에 감염된 사이트를 방문하여 좀비PC로 감염

자동시작
아래의 레지스트리 항목에 등록되어 시스템에 부팅될때마다 자동으로 자동 실행되도록 서비스로 등록됨

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\SvcHost
m{3 random alphabetic characters}svc = "m{3 random alphabetic characters}svc"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\SvcHost
w{2 random alphabetic characters}csvc = "w{2 random alphabetic characters}csvc"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\SvcHost
s{3 random alphabetic characters}svc = "s{3 random alphabetic characters}svc"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\m{3 random alphabetic characters}svc
Type = "20"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\m{3 random alphabetic characters}svc
Start = "2"


DoS 공격
이 악성코드는 해당 사이트에 도스 공격 실시
• naver.com
• daum.net
• auction.co.kr
• hangame.com
• dcinside.com
• gmarket.co.kr
• cwd.go.kr
• mofat.go.kr
• nis.go.kr
• unikorea.go.kr
• assembly.go.kr
• korea.go.kr
• dapa.go.kr
• police.go.kr
• nts.go.kr
• customs.go.kr
• mnd.mil.kr
• jcs.mil.kr
• army.mil.kr
• airforce.mil.kr
• navy.mil.kr
• usfk.mil
• dema.mil.kr
• kunsan.af.mil
• kcc.go.kr
• mopas.go.kr
• kisa.or.kr
• ahnlab.com
• fsc.go.kr
• kbstar.com
• wooribank.com
• hanabank.com
• keb.co.kr
• shinhan.com
• jeilbank.co.kr
• nonghyup.com
• kiwoom.com
• daishin.co.kr
• korail.com
• khnp.co.kr

악성 파일 생성
이 악성코드는 다음과 같은 파일을 드롭 시킵니다.
• %System%\faultrep.dat (악성코드 아님)
• %System%\tlntwye.dat (악성코드 아님)
• %System%\tljoqgv.dat - encrypted list of sites to DDoS; (악성코드 아님)
• %System%\noise03.dat (악성코드 아님)
• (Note: %System% is the Windows system folder, which is usually C:\Windows\System on Windows 98 and ME, C:\WINNT\System32 on Windows NT and 2000, or C:\Windows\System32 on Windows XP and Server 2003.)

• 이 악성코드는 다음과 같은 파일을 드롭 시킵니다.
• %System%\rtdrvupr.exe –TROJ_QDDOS.A (진단명 TROJ_QDDOS.A 로 이미 진단)
• %System%\m{3 random alphabetic characters}svc.dll (진단명 TROJ_QDDOS.A 로 이미 진단)
• %System%\w{2 random alphabetic characters}csvc.dll (진단명 TROJ_QDDOS.A 로 이미 진단)
• %System%\s{3 random alphabetic characters}svc.dll (진단명 TROJ_QDDOS.A 로 이미 진단)
• (Note: %System% is the Windows system folder, which is usually C:\Windows\System on Windows 98 and ME, C:\WINNT\System32 on Windows NT and 2000, or C:\Windows\System32 on Windows XP and Server 2003.)

다운로드 경로
이 악성코드는 컴포넌트 파일을 다운로드하기 위해 다음 URL과 연결됩니다.
• {생략}.{생략}.11.82 at TCP port 443
• {생략}.{생략}.253.166 at TCP port 443

다음 명칭을 이용한 파일을 세이브합니다.
• nt{2 random alphabetic characters}{2 random numeric characters}.dll - also detected as TROJ_QDDOS.A

호스트 파일 변조
이 악성코드는 윈도우 호스트 파일에 다음의 문자열을 추가합니다.
• {생략}.{생략}.0.1 explicitupdate.alyac.co.kr
• {생략}.{생략}.0.1 gms.ahnlab.com
• {생략}.{생략}.0.1 ko-kr.albn.altools.com
• {생략}.{생략}.0.1 ko-kr.alupdatealyac.altools.com
• {생략}.{생략}.0.1 su.ahnlab.com
• {생략}.{생략}.0.1 su3.ahnlab.com
• {생략}.{생략}.0.1 update.ahnlab.com
• {생략}.{생략}.0.1 ahnlab.nefficient.co.kr

정보 유출
이 악성코드는 감염된 시스템에서 다음의 정보를 유출합니다.
최근 로그인한 사용자 이름
컴퓨터 이름
악성코드의 경로와 파일명
처음 드롭된 악성코드의 파일명과 경로

기타 정보
악성코드는 파일을 다운로드하고 유출한 정보를 보낼 IP address와 연결하거나 다음과 같은 확장자명을 검색하는 일을 수행합니다.
• .alz
• .asp
• .aspx
• .c
• .cpp
• .doc
• .docm
• .docx
• .eml
• .gho
• .gul
• .h
• .hna
• .hwp
• .java
• .jsp
• .kwp
• .mdb
• .pdf
• .php
• .ppt
• .pptx
• .pst
• .rar
• .wpd
• .wpx
• .wri
• .xls
• .xlsx
• .zip

이 변조된 악성코드 경로와 마스터 부트 레코드를 삭제 악성코드가 지정한 특정날짜의 마스터 부트 레코드를 지우고 감염된 파일명과 경로를 변조를 시도합니다.

위 40개 사이트를 대상으로 디도스 공격을 실행합니다.

업데이트 히스토리 :
2011.03.04 오후 5:27 - 3.3 DDoS 공격 바이러스 패턴 및 전용 백신 업데이트
2011.03.08 오후 8:06 - 기술세부사항 업데이트
 


Connect with KR on