보안IT뉴스 보안권고문 보안Tip 보안처방 보안통신 보안용어 보안백신메일 보안캘린더
보안위협DB 찾기
보안칼럼
에브리존 Zip에브리존 See에브리존 FTP

  보안IT뉴스
  보안권고문
  보안Tip
  보안처방
  보안통신
  보안용어
  보안백신메일
  보안캘린더
  보안위협DB찾기
  보안칼럼

   보안위협DB찾기
   
  
 목록 |  윗글 |  아랫글  
Trojan-W32/Agent.37461.C
 바이러스 종류
Trojan
 실행환경
Windows
 발견일
2009년07월09일
 제작지
불분명
 위험등급
긴급
 확산방법
바이러스 연계
 바이러스 크기
37461
 첨부파일
 메일제목
  없음
 증상요약
  대량 유해 트래픽을 수반하는 분산서비스거부공격(DDoS)공격으로 인한 특정 사이트 마비 현상
 치료방법

터보백신 제품군으로 진단/치료 가능합니다.

  
 
상세설명

*감염 경로

현재 정확한 감염 경로가 확인 되지 않았지만, 타 유해코드로 인한 연쇄 감염을 의심하고 있다.

 


*증상

- 대량 유해 트래픽을 수반하는 분산서비스거부공격(DDoS)공격으로 인한 특정 사이트 마비 현상

- DDoS 관련 악성코드로서 msiexec2.exe 라는 파일명을 가지고 있으며 DDoS 공격을 수행하는 DLL 파일을  생성한다. 

- 파일 생성

윈도우 시스템 폴더에 다음 파일을 생성한다.

     -  파일명 : msiexec2.exe

      - 파일길이 : 37,461 바이트

 

위 파일이 실행 되면 uregvs.nls 파일을 생성한다.
또한 EXE 파일에는 코드 내부에 공격 리스트를 담겨 있다.

 

-윈도우 시스템 폴더란?

       윈도우 95/98/ME     -  C:\Windows\System,

      윈도우 NT/2000        -  C:\WinNT\System32

       윈도우 XP               -  C:\Windows\System32

 

- DDoS 공격에 사용되는 DLL 파일은 다음과 같이 생성 된다.

C:\WINDOWS\system32\wmiconf.dll

-          파일 이름 : wmiconf.dll

-          파일 길이 : 67,072 바이트

 

 

관련 DLL 파일은 리스트를 공격할 리스트를 참조하여 사이트 공격을 감행한다.

*공격 사이트 리스트
[****
국내 사이트****]
-
청와대, 국방부, 외교통상부, 대한민국 국회, 주한 미군, 네이버 블로그, 네이버 메일, 농협 인터넷 뱅킹, 신한은행 인터넷 뱅킹, 외환은행 인터넷 뱅킹, 한나라당, 조선일보, 옥션

- banking.nonghyup.com (
농협 인터넷 뱅킹)
- blog.naver.com (
네이버 블로그)
- ebank.keb.co.kr (
외환은행 인터넷 뱅킹)
- ezbank.shinhan.com (
신한은행 인터넷 뱅킹)
- mail.naver.com (
네이버 메일)
- www.assembly.go.kr (
대한민국 국회)
- www.auction.co.kr (
옥션)
- www.chosun.com (
조선일보)
- www.hannara.or.kr (
한나라당)
- www.mnd.go.kr (
국방부)
- www.mofat.go.kr (
외교통상부)
- www.president.go.kr (
청와대)
- www.usfk.mil (
주한 미군)

[****
국외 사이트****]
- finance.yahoo.com
- travel.state.gov
- www.amazon.com
- www.dhs.gov
- www.dot.gov
- www.faa.gov
- www.ftc.gov
- www.nasdaq.com
- www.nsa.gov
- www.nyse.com
- www.state.gov
- www.usbank.com
- www.usps.gov
- www.ustreas.gov
- www.voa.gov
- www.voanews.com
- www.whitehouse.gov
- www.yahoo.com
- www.washingtonpost.com
- www.usauctionslive.com
- www.defenselink.mil
- www.marketwatch.com
- www.site-by-site.com

 

* 변종에 따라 사이트 변경이 있을 수 있다.

 
예방 및 수동조치방법
터보백신Ai, 터보백신 Online, 터보백신 2001, , 터보백신IS 제품군으로 치료가능
무단전재ㆍ배포금지
에브리존에서 제공하는 모든 컨텐츠 정보에 대한 저작권은 에브리존의 소유이며 관련법의 보호를 받습니다.
에브리존의 사전 허가 없이 에브리존 컨텐츠를 무단으로 전재, 배포를 금지되어 있습니다.
이를 위반하는 경우 손해배상의 대상 또는 민.형사상의 법적 소송 대상이 될 수 있습니다.
* 에브리존 정보 이용 문의 : greenking@everyzone.com
 목록