1. 감염 경로
현재는 알 수 없음
2. 악성 행위
기존의 DDos의
공격과는 달리 C&C서버 명령어 없이 감염 된
PC에서 직접적으로 사이트에 대한 DDos 공격을 시도합니다.
msiexec1.exe 에서 wmiconf.dll과 uregvs.nls 파일이 생성되며, uregvs.nls 파일에는 공격대상 웹사이트 리스트와 공격방법이 기재되어 있으며, dll 파일에서 불러와 GET Flooding 공격을 하는 것이 이번 DDoS의 원리입니다.
1) 파일생성
%PROFILE%\Local
Settings\Temp\msiexec1.exe (V.TRJ.DDoS.Agent.33841)
%PROFILE%\Local
Settings\Temp\msiexec2.exe (V.TRJ.DDoS.Agent.33841)
%PROFILE%\Local
Settings\Temp\msiexec3.exe (V.TRJ.DDoS.Agent.33841)
%PROFILE%\Local
Settings\Temp\vme.bat (생성 후 실행 된 악성코드와 자기자신을 삭제)
C:\WINDOWS\system32\wversion.exe
(V.TRJ.DDoS.Agent.33841)
C:\WINDOWS\system32\wmcfg.exe
(V.TRJ.DDoS.Agent.33841)
C:\WINDOWS\system32\wmiconf.dll
(V.TRJ.DDoS.Agent.67072)
C:\WINDOWS\system32\perfvwr.dll
(V.TRJ.DDoS.Agent.67072)
C:\WINDOWS\system32\mstimer.dll
(V.TRJ.DDoS.Agent.67072)
C:\WINDOWS\system32\uregvs.nls
(V.TRJ.DDoS.Agent.nls)
C:\WINDOWS\system32\pxdrv.nls
(V.TRJ.DDoS.Agent.nls)
2) 파일삭제(삭제
후 동일한 이름으로 다시 생성함-정상파일)
WinPcap 파일은 패킷캡쳐에 사용되는 파일이지만 패킷 생성에도
악용되는 파일입니다.
C:\WINDOWS\system32\wpcap.dl
C:\WINDOWS\system32\Packet.dll
C:\WINDOWS\system32\WanPacket.dll
C:\WINDOWS\system32\npptools.dll
C:\WINDOWS\system32\drivers\npf.sys
3) 레지스트리 생성
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmiConfig
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsTimer
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\perfvwr
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\SvcHost
"wmiconf"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
4) 공격 대상 웹사이트 리스트
(uregvs.nls)
- 국내
www.president.go.kr
www.mnd.go.kr
www.mofat.go.kr
www.assembly.go.kr
www.usfk.mil
blog.naver.com
mail.naver.com
banking.nonghyup.com
ezbank.shinhan.com
ebank.keb.co.kr
www.hannara.or.kr
www.chosun.com
www.auction.co.kr
- 국외
www.whitehouse.gov
www.faa.gov
www.dhs.gov
www.state.gov
www.voanews.com
www.defenselink.mil
www.nyse.com
www.nasdaq.com
finance.yahoo.com
www.usauctionslive.com
www.usbank.com
www.washingtonpost.com
www.ustreas.gov
- 국외 추가 된 웹사이트 리스트
www.dot.gov
www.ftc.gov
www.nsa.gov
www.usps.gov
www.yahoo.com
travel.state.gov
www.site-by-site.com
www.marketwatch.com
www.amazon.com
'IT 보안소식' 카테고리의 다른 글
| [77DDoS]Ahnlab.co.kr 아직도 불통 (1) | 2009.07.09 |
|---|---|
| [77DDoS]DDoS 공격 2차 분석 (0) | 2009.07.09 |
| [77DDoS]알약 전용백신으로 치료하세요!! (0) | 2009.07.09 |
| The Panda Challenge Competition 개최 (0) | 2009.07.07 |
| 네이트온 변종이 또 활개 ㅡ.ㅡ;; (8) | 2009.06.16 |
댓글