본문 바로가기
IT 보안소식

[77DDoS]DDoS 공격 2차 분석

by 잡다한 처리 2009. 7. 9.
반응형


7월 8일 오후 6시를 중심으로 2차 공격이 시작되었으며, 1차 공격과는 다른 패턴을 가지고 있다.

1. 악성 행위

2차 공격은 공격대상이 담겨있는 uregvs.dll이 변경되었으며, 직접공격하는 dll파일은 동일 하다.

특이사항으로는 여러가지 확장자를 압축하고, 압축 한 원본파일은 삭제 하는 악성파일(V.TRJ.Ransum.MotID )이 새로 등장하였다.

 

1) 파일생성

%PROFILE%\Local Settings\Temp\msiexec6.exe (V.TRJ.DDoS.Agent.33841)

C:\WINDOWS\system32\wversion.exe (V.TRJ.Ransom.MotID)

C:\WINDOWS\system32\uregvs.nls (V.TRJ.DDoS.Agent.nls)

 

2) 공격 대상 웹사이트 리스트 (uregvs.nls)

- 2차 공격으로 추가 된 웹사이트 리스트

www.mnd.go.kr

www.ncsc.go.kr

mail.daum.net

mail.paran.com

www.ibk.co.kr (기업은행)

www.hanabank.com (하나은행)

www.wooribank.com (우리은행)

www.altools.co.kr

www.ahnlab.com

www.egov.go.kr

www.kbstar.com (국민은행)

 

3) V.TRJ.Ransom.MotID 분석

.zip

.pas

.cpp

.java

.jsp

.aspx

.asp

.php

.rar

.gho

.alz

.xml

.pst

.eml

.kwp

.gul

.hna

.hwp

.txt

.rtf

.dbf

.accdb

.pdf

.pptx

.ppt

.mdb

.xlsx

.xls

.wri

.wpx

.wpd

.docm

.docx

.doc

위의 확장자에 대하여 .tgz .arj .lzh .arc .zoo 압축을 실행 하고, 원본파일은 삭제 하게 된다.

확장자를 찾는 대상 폴더는 루트를 대상으로 모든 폴더에 확장자를 비교하며 확장자에 맞는 파일이 존재 시  압축을실행하며 원본파일은 삭제한다.

압축 된 파일에는 8자리의 암호가 생성되어 사용자가 임의로 복구 하지 못하도록 한다.

악성코드안에는 Memory of the Independence Day 이라는 문구가 삽입되어 있고, 디스크의 섹터에 문구를 삽입하여 부팅을 하지 못하도록 디스크를 파괴시킨다.


댓글