*감염 경로
현재 정확한 감염 경로가 확인 되지 않았지만, 타 유해코드로 인한 연쇄 감염을 의심하고 있다.
*증상
- 대량 유해 트래픽을 수반하는 분산서비스거부공격(DDoS)공격으로 인한 특정 사이트 마비 현상
- DDoS 관련 악성코드로서 msiexec2.exe 라는 파일명을 가지고 있으며 DDoS 공격을 수행하는 DLL 파일을 생성한다.
- 파일 생성
윈도우 시스템 폴더에 다음 파일을 생성한다.
- 파일명 : msiexec2.exe
- 파일길이 : 37,461 바이트
위 파일이 실행 되면 uregvs.nls 파일을 생성한다. 또한 EXE 파일에는 코드 내부에 공격 리스트를 담겨 있다.
-윈도우 시스템 폴더란?
윈도우 95/98/ME - C:\Windows\System,
윈도우 NT/2000 - C:\WinNT\System32
윈도우 XP - C:\Windows\System32
- DDoS 공격에 사용되는 DLL 파일은 다음과 같이 생성 된다.
C:\WINDOWS\system32\wmiconf.dll
- 파일 이름 : wmiconf.dll
- 파일 길이 : 67,072 바이트
관련 DLL 파일은 리스트를 공격할 리스트를 참조하여 사이트 공격을 감행한다.
*공격 사이트 리스트 [****국내 사이트****] - 청와대, 국방부, 외교통상부, 대한민국 국회, 주한 미군, 네이버 블로그, 네이버 메일, 농협 인터넷 뱅킹, 신한은행 인터넷 뱅킹, 외환은행 인터넷 뱅킹, 한나라당, 조선일보, 옥션
- banking.nonghyup.com (농협 인터넷 뱅킹) - blog.naver.com (네이버 블로그) - ebank.keb.co.kr (외환은행 인터넷 뱅킹) - ezbank.shinhan.com (신한은행 인터넷 뱅킹) - mail.naver.com (네이버 메일) - www.assembly.go.kr (대한민국 국회) - www.auction.co.kr (옥션) - www.chosun.com (조선일보) - www.hannara.or.kr (한나라당) - www.mnd.go.kr (국방부) - www.mofat.go.kr (외교통상부) - www.president.go.kr (청와대) - www.usfk.mil (주한 미군)
[****국외 사이트****] - finance.yahoo.com - travel.state.gov - www.amazon.com - www.dhs.gov - www.dot.gov - www.faa.gov - www.ftc.gov - www.nasdaq.com - www.nsa.gov - www.nyse.com - www.state.gov - www.usbank.com - www.usps.gov - www.ustreas.gov - www.voa.gov - www.voanews.com - www.whitehouse.gov - www.yahoo.com - www.washingtonpost.com - www.usauctionslive.com - www.defenselink.mil - www.marketwatch.com - www.site-by-site.com
* 변종에 따라 사이트 변경이 있을 수 있다. |