에스지에이이피에스 홈페이지

안녕하십니까? 바이러스체이서 입니다.

2013년 6월25일 국가 주요 웹사이트의 접속 장애를 유발하는 악성코드가 확인되어 공지해드립니다.

해당 파일은 DNS 서버에 DDos 공격을 하여 네트워크 트래픽을 유발시킴으로써, 국내의 주요 웹 사이트의 접속 장애를 야기하였습니다.
최초의 유포 경로는 기존 웹 하드 업체의 설치 프로그램에 악성파일도 함께 포함되어 유포 되었으며, 변조 된 설치 프로그램을 실행 시 악성 파일도 실행되어 추가적인 다운로드를 시도하여 성공 시 이후의 기능을 수행하게 됩니다.

최종적으로 악성 파일은 감염 된 좀비PC를 이용하여 DNS 서버로 다량의 쿼리를 전송하고 리소스를 소모시켜 과부하를 일으키도록 하였습니다.
해당 바이러스는 웹 하드의 설치 프로그램을 변조하여 사용자 몰래 설치되고, 공격의 효과를 높이기 위하여 DNS 서버를 공격하는 지능적인 방법을 사용하였습니다.

O 접속 장애 URL
- 국방부(http://www.mnd.go.kr), 국정원(http://www.nis.go.kr), 새 누리당 관련
(http://busan.saenuriparty.kr | http://ulsan.saenuriparty.kr) 등 다수 기관의 웹 사이트

O 악성코드 감염경로 및 동작 과정


O 악성파일은 정상 웹 하드 설치 파일과 함께 압축되어 있으며, 웹 하드 설치 시 함께
설치 되도록 되어 있습니다.

O 설치된 악성파일(SimDiskup.exe)에 의해서 추가 악성 파일이 다운로드 됩니다.

- 다운로드 된 c.jpg 는 그림파일로 위장하고 있으며, 실행 시 추가적인 악성파일(Random.exe)을 생성합니다.

O 생성된 악성파일(Random.exe)은 아래와 같이 행위를 합니다.

<파일 생성>
- C:\WINDOWS\System32\ole+랜덤명.dll
- C:\WINDOWS\System32\wuauieop.exe

<레지스트리 등록>
- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\랜덤명]
ImagePath : %SystemRoot%\System32\svchost.exe -k netsvcs

- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\랜덤명\Parameters]
ServiceDll : %SystemRoot%\System32\ole+랜덤명.dll

<네트워크>
- 특정 IP에 접속합니다. 209.<생략>.177.216:80
 
O ole+랜덤명.dll은 서비스로 실행되며, 아래 URL로 접속 시도합니다


<ole(Randaom).exe>

- 접속 성공 시 파일을 다운로드 합니다.

다운로드 된 파일 내용은 아래와 같습니다.


16진수를 10진수 변환결과
0x06 => 06, 0x19 => 25, 0x0A => 10, 0x00 => 00 (06월 25일 10시 00분)

실제 공격은 오전10시 ~ 11시 사이에 시작 되었으며, 위 내용과 비교해볼 때 공격자로부터 공격명령을 받은 것으로 확인 됩니다.
O 생성 된 파일이 특정IP로 지속적인 쿼리를 전송하여 웹 사이트 접속 장애를 유발합니다.
- 악성파일은 정부전산정보관리소(*.gcc.go.kr) 서버로 패킷을 전송합니다.
- http://ns.gcc.go.kr (152.99.1.10)
http://ns2.gcc.go.kr (152.99.200.6)


<wuauieop.exe>


<코드내용>

- 악성코드는 다량의 DNS Query를 전송하여, 웹 사이트의 과부하를 일으킵니다.(DDos 공격)


<트래픽>

<국내 주요 웹 사이트 접속 장애>
 
O 현재 바이러스체이서 8.0에서는 아래와 같이 진단합니다.

< 예방 방법 >
바이러스체이서 8.0이 설치되어 있는 경우 최신 업데이트로 유지하시면 안전하게 차단하실 수 있습니다.
또한 보안 예방을 위해서 신뢰할 수 없는 웹사이트나 웹하드를 이용하지 마시고 최신 버전의 보안 소프트웨어를 설치 하는것이 가장 중요합니다.