태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

신종악성코드정보2009.07.09 01:18


DDoS 2차 공격용 악성코드와 관련하여 파일들을 분석하는 과정에서 일부 샘플에서 Memory of the Independence Day 라는 내용을 발견했습니다.

초기 샘플들이 미국의 독립기념일인 2009년 7월 4일부터 보고된 것과 일치되는 부분이기도 합니다.

Memory of the Independence Day : 독립기념일 기억? 기념? 추억?

또한 물리적 드라이브의 데이터를 Memory of the Independence Day 라는 값으로 덮어쓰기하며, 아래 보면 여러가지 확장자 파일들을 암호화 압축하는 형태의 헤더로 만들고 데이터는 Null 로 삽입합니다. 하드 복구를 해도 데이터 복구가 어렵게 하도록 구성한 듯 싶습니다.

공격자 추적을 방해하기 위한 파괴 목적으로 추정됩니다.



사용자 삽입 이미지

2차 공격에 사용되었던 대상 사이트들은 다음과 같습니다.

- http://www.mnd.go.kr/ (국방부)
- http://www.president.go.kr/ (청와대)
- http://www.ncsc.go.kr/ (국가정보원 국가사이버안전센터)
- http://mail.naver.com/ (네이버 메일)
- http://mail.daum.net/ (다음 한메일넷)
- http://mail.paran.com/  (파란 메일)
- http://www.auction.co.kr/ (옥션)
- http://www.ibk.co.kr/ (기업은행)
- http://www.hanabank.com/ (하나은행)
- http://www.wooribank.com/  (우리은행)
- http://www.kbstar.com/ (국민은행)
- http://www.altools.co.kr/ (알툴즈)
- http://www.ahnlab.com/ (안철수 연구소)
- http://www.usfk.mil/ (주한미군)
- http://www.egov.go.kr/ (전자민원 G4C)
- http://www.chosun.com/ (조선일보)


Mydoom 이메일 웜의 소스코드를 활용한 것으로 의심되고 있으며, 다음과 같이 이메일 발송 기능도 작동된다.

다만 첨부파일에는 특별히 악성코드가 포함되지는 않으며, 의도한 것이라면 다량의 SPAM성 메일 발송을 목적으로 했을 수 있다.

현재 유입되는 메일양이 엄청나고 있어 감염된 컴퓨터가 하나 둘씩 작동되고 있는 것으로 보여진다.






Posted by viruslab
신종악성코드정보2009.07.04 09:29


일명 Iksmas(Waledac) 이라는 이름으로 제작되어 유포되었던 악성코드가 다시 변종화 되어 활동을 개시하였습니다.

이번에는 미국 독립 기념일(7월 4일) 관련 허위 내용으로 유포되고 있습니다.

미국 독립 기념일 : http://en.wikipedia.org/wiki/Independence_Day_%28United_States%29

Colorful Independence Day events took place throughout the country

This year July 4th firework's shows were surprisingly amazing. The largest firework happend this Saturday. Unprecedented sum of money was spent on this fabulous show even despite crisis. The American Pyrotechnics Association has named South Shore's Fourth of July fireworks show as the best pyrotechnic displays in the nation. If you want to see this fantastic show just click on the video below and press "Run". 


마치 YouTube 동영상 처럼 위장하고 있으며, 동영상 재생 그림부분을 클릭하게 되면 악성코드를 다운로드 시도하게 됩니다. 




7월 3일부터 다량의 변종이 유포되고 있어 매우 주의가 필요합니다.

지금까지 수집된 샘플들의 MD5 값 들은 다음과 같고, 지속적으로 변종이 유포되고 있기 때문에 계속해서 누적 될 예정입니다.

잉카인터넷(http://www.nprotect.com) nProtect Anti-Virus 제품에 긴급 업데이트 진행 중에 있습니다.

http://www.nprotect.com/v6/contents/index.php?mode=inca_sc_view&no=67


현재 다음과 같은 파일명 등이 사용되어 유포되고 있습니다.

setup.exe
fireworks.exe
patch.exe
video.exe
run.exe
movie.exe
install.exe



Posted by viruslab