태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

'Memory of the Independence Day'에 해당되는 글 1건

  1. 2009.07.09 [DDoS]공격코드 파괴 기능 탑재 + 메일 발송 (2)
신종악성코드정보2009.07.09 01:18


DDoS 2차 공격용 악성코드와 관련하여 파일들을 분석하는 과정에서 일부 샘플에서 Memory of the Independence Day 라는 내용을 발견했습니다.

초기 샘플들이 미국의 독립기념일인 2009년 7월 4일부터 보고된 것과 일치되는 부분이기도 합니다.

Memory of the Independence Day : 독립기념일 기억? 기념? 추억?

또한 물리적 드라이브의 데이터를 Memory of the Independence Day 라는 값으로 덮어쓰기하며, 아래 보면 여러가지 확장자 파일들을 암호화 압축하는 형태의 헤더로 만들고 데이터는 Null 로 삽입합니다. 하드 복구를 해도 데이터 복구가 어렵게 하도록 구성한 듯 싶습니다.

공격자 추적을 방해하기 위한 파괴 목적으로 추정됩니다.



사용자 삽입 이미지

2차 공격에 사용되었던 대상 사이트들은 다음과 같습니다.

- http://www.mnd.go.kr/ (국방부)
- http://www.president.go.kr/ (청와대)
- http://www.ncsc.go.kr/ (국가정보원 국가사이버안전센터)
- http://mail.naver.com/ (네이버 메일)
- http://mail.daum.net/ (다음 한메일넷)
- http://mail.paran.com/  (파란 메일)
- http://www.auction.co.kr/ (옥션)
- http://www.ibk.co.kr/ (기업은행)
- http://www.hanabank.com/ (하나은행)
- http://www.wooribank.com/  (우리은행)
- http://www.kbstar.com/ (국민은행)
- http://www.altools.co.kr/ (알툴즈)
- http://www.ahnlab.com/ (안철수 연구소)
- http://www.usfk.mil/ (주한미군)
- http://www.egov.go.kr/ (전자민원 G4C)
- http://www.chosun.com/ (조선일보)


Mydoom 이메일 웜의 소스코드를 활용한 것으로 의심되고 있으며, 다음과 같이 이메일 발송 기능도 작동된다.

다만 첨부파일에는 특별히 악성코드가 포함되지는 않으며, 의도한 것이라면 다량의 SPAM성 메일 발송을 목적으로 했을 수 있다.

현재 유입되는 메일양이 엄청나고 있어 감염된 컴퓨터가 하나 둘씩 작동되고 있는 것으로 보여진다.






Posted by viruslab