본문 바로가기
정보보호 (Security)

긴급! DDoS 관련 좀비PC 하드디스크 손상 주의

by ·´″°³о♡ 날으는물고기 2009. 7. 9.

긴급! DDoS 관련 좀비PC 하드디스크 손상 주의

728x90

7월 10일 0시를 기하여 특정 악성코드에 감염된 PC가 포멧될 가능성이 있습니다.

PC를 종료하시고 안전모드(F8)로 부팅하시고,

시간을 7월 10일 이전으로 변경하시기 바랍니다.

□ 개 요

  o 지난 7일부터 시작된 DDoS 공격의 좀비 PC들이 7월 10일 00시를 기점으로 스스로
    하드디스크를 손상시켜 PC가 부팅이 되지않아 동작 불능상태가 될 수 있음

  o 사용자들은 PC 하드디스크 손상을 방지하기 위해서는 해결방안을 반드시 수행하기를
    권고함

□ 설 명

  o 지난 7일부터 대대적으로 DDoS 공격을 실행하였던 좀비 PC들이 악성코드의 흔적을
    감추기 위해 스스로 하드디스크를 손상시켜 PC가 동작 불능 사태가 되도록 함

  o 안전모드로 부팅후 아래와 같은 요소가 만족될 경우 하드디스크가 손상되었거나,

    손상을 유발하는 악성코드에 감염되었을 수 있음

    윈도우 탐색기를 통하여 확인결과

    - "C:\Windows\System32\mstimer.dll" 파일이 존재함

    - "C:\Windows\System32\wversion.exe"파일이 존재함

    - "C:\Windows\win.ini" 파일에 다음과 같은 문자열이 존재

              [MSSOFT]
              LastName=40004
              FirstName=3
              Location=Y

    o 위의 조건이 만족이 만족되는 경우 아래와 같은 대응 방안을 반드시 실시해야함

□ 대응방안

  o 사용자는 컴퓨터를 부팅 초기화면에 F8을 눌러 안전모드로 부팅


  o 윈도우의 시스템 시간을  7월10일 00시 이전으로 충분히 조정 (예: 3월 1일 00시)

  o 윈도우 탐색기를 통해 아래 조치를 실시

    - "C:\Windows\System32\wversion.exe"을 삭제
    - "C:\Windows\System32\mstimer.dll"을 삭제
    - "C:\Windows\win.ini" 파일 내부 내용중 다음 문자열을 삭제
              [MSSOFT]
              LastName=40004
              FirstName=3
              Location=Y

  o 윈도우를 재부팅 한 후 백신 프로그램 업데이트 후 검사/치료
    
    백신 S/W가 설치되지 않았을 경우, 백신 S/W 설치후 점검


□ 기타 문의사항

  o 한국정보보호진흥원 인터넷침해사고대응지원센터: 국번없이 118

  o 각 백신업체 고객지원 센터



신종 분산서비스거부공격(DDoS)에 따른 "주의" 경보발령

※ 최초공지일: 2009-07-08 02:40
※ 최종수정일: 2009-07-08 17:00 (악성코드 감염 PC 및 피해 사이트의 증상 기술,
    감염 시 조치 방법 보강)


□ 개요
  o 2009년 7월 7일 발생한 분산서비스거부공격에 의해 청와대, 네이버 등
    국내 주요 사이트에 대한 접속 장애 유발
  o 해당 악성코드는 명령제어 서버로부터 공격목표를 전달받는 것이 아니라 감염 시
    생성되는 공격목표 설정 파일을 기반으로 자동공격을 수행함


□ 악성코드 감염 PC 증상
  o 윈도우 서비스 형태로 등록되어 컴퓨터 시작과 함께 자동으로 실행됨
  o 방화벽 설정 비활성화
  o 다수의 특정 도메인을 대상으로 HTTP / UDP / ICMP Ping 패킷을 지속적으로 전송
    - 악성코드의 명령제어(C&C) 서버 접속 없이 악성코드 감염 시 생성된
      공격 대상 도메인 목록 파일을 기반으로 자동 공격
    - 각 도메인으로 향하는 공격 트래픽은 1.0 ~ 25.3 KBPS 수준임
      (분당 트래픽으로 환산하면 57.2 KB ~ 1.5 MB)
    - 하나의 감염 PC에서 발생시키는 총 트래픽은 54.2 KBPS로 해당 PC에
      큰 무리를 주지 않음 (분당 약 3.3 MB)
    - HTTP GET Flooding으로 발생하는 트래픽의 비율이 전체 공격 트래픽의 92.4%로
      대부분을 차지하는 반면 UDP와 ICMP Ping 트래픽은 약 4%에 해당함


□ 피해 사이트에서 관찰되는 증상
  o HTTP 헤더의 User-Agent 항목을 다음과 같이 서로 다른 5가지의 유형으로 변경해가면서
    지속적으로 요청을 수행
    - User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; GTB6;
      .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
    - User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0;
      GTB6; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
    - User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.20)
      Gecko/20081217 Firefox/2.0.0.20 (.NET CLR 3.5.30729)
    - User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.2;
      MAXTHON 2.0)
    - User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0;
      GTB6; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
  o HTTP GET 수신과 더불어 UDP 80번 포트로 유입되는 트래픽 및 ICMP Ping 수신이 꾸준하게
    관찰됨


□ 감염 시 조치 방법
  o 일반 인터넷 이용자
    - 최신 업데이트된 백신을 이용하여 치료
      ※ 7월 8일 12시 현재, 아래의 국내 6개 주요 백신 모두 진단함
         V3 (안철수연구소), 바이로봇 (하우리), 바이러스체이서 (에스지알아이)
         알약 (이스트소프트), nProtect (잉카인터넷), 피시그린 (네이버)
      ※ 현재 6개 업체 모두 전용 백신을 배포하고 있음(아래 링크 참조)
         ◇ 안철수 전용백신 : 다운로드
         ◇ 하우리 전용백신다운로드
         ◇ 바이러스체이서 전용백신다운로드
         ◇ 알약 전용백신다운로드
         ◇ 네이버PC그린 전용백신다운로드
         ◇ 잉카인터넷 전용백신 : 다운로드

  o 네트워크 및 시스템 관리자
    - 네트워크 DDoS 트래픽 모니터링 강화
    - 방화벽, IDS, IPS 등에 DDoS 트래픽 차단 규칙 적용
      ※ 위에 제시된 User-Agent 문자열을 이용하여 차단 규칙을 만들 수 있으나
         정상적인 이용자의 접속에 장애를 일으킬 가능성이 있으므로 주의


□ 기타 문의사항
  o 한국정보보호진흥원 인터넷침해사고대응지원센터 : http://www.krcert.or.kr/
    (전화 : 국번없이 118)

728x90

댓글0