2009년 7월 7일 영화를 보고 집에 오는 길에 아는 형이 연락했다.
"지금 네이버하고 옥션 접속 잘 안되는데 알고 있는 사항 좀 있으면 연락줘."

집에 도착해 확인해보니 별다른 얘기가 없고 기사만 몇가지 올라와 있었다.

7월 7일 오후 6시부터 네이버 메일 및 쪽지 서비스 장애가 발생했다고 한다.
이후 기사를 통해 네이버 메일과 옥션 외에 조선일부와 청와대도 접속 장애가 발생하고 있음을 알 수 있었다.

- '사상 초유' 국내 주요사이트 해킹 '인터넷 대란' (제목이 상당히 자극적임...)
http://news.chosun.com/site/data/html_dir/2009/07/07/2009070701575.html?254bed50

- 청와대 사이트도 불통... 해커 DDOS 공격 때문?
http://www.newshankuk.com/news/news_view.asp?articleno=d20090707232908n3314

- 한 밤의 인터넷 대란 ... 네이버 메일, 은행에 이어 청와대도 먹통
http://www.eto.co.kr/?Code=20090708000456890&ts=10012


일부 언론에서 해킹이라는 표현을 사용했는데 일반인들이 해당 사이트가 해킹 된 것으로 오해할 수 있어서 공격이라는 표현이 어떨까 싶다. 또, 몇 개 사이트 접속 안되었으므로 인터넷 대란은 조금 과장된게 아닐까 싶다.

[악성코드]

밤 11시 쯤 perfvwr.dll 의 존재가 처음 알려졌으며 이후 이번 사건과 관련된 악성코드들이 속속 밝혀지고 있다.

- 파일명 : msiexec2.exe
- 파일길이 : 33,841 바이트
- V3 진단명 : Win-Trojan/Agent.33841

이 파일이 실행되면 uregvs.nls 파일을 생성한다.
이 EXE 파일에는 코드 내부에 공격 리스트를 담고 있다.

악성코드가 공격하는 리스트

실제 공격을 수행하는 파일은 DLL 파일로 현재까지 2개 파일이 발견되었다.

- 파일 이름 : perfvwr.dll
- 파일 길이 : 65,536 바이
- V3 진단명 : Win-Trojan/Agent.65536.VE


- 파일 이름 : wmiconf.dll
- 파일 길이 : 67,072 바이트
- V3 진단명 : Win-Trojan/Agent.67072.DL

DLL 파일은 공격할 리스트를 읽어들여 해당 사이트로 공격한다.



MD5                                             파일명 (V3 진단명)
------------------------------------------------------------------------------50c97bf514643d9e60980985db0908ca   wmiconf.dll (Win-Trojan/Agent.67072.DL)
0f394734c65d44915060b36a0b1a972d   msiexec1.exe (Win-Trojan/Downloader.374651)
9b08939834b2fe265ebaedccebd3d470 msiexec2.exe (Win-Trojan/Agent.24576.AVC)
6350758b62484765239057218bd81d9e   msiexec3.exe (Win-Trojan/Agent.24576.AVD)
e199d5c70745c363b734f499a3e065a9   msiexec7.exe (Win-Trojan/Agent.32768.AIK)
6e5b00560a3c5bb92dfacb3766d6d7bc msiexec5.exe (Win-Trojan/Agent.32768.AIS)
1cba81fea0f34511c026e77cfa1f0ef6     wmcfg.exe (Win-Trojan/Mydoom.88064)
04a3552a78ed2f8dc8dc9a77ee9eb281  wversion.exe (Win32/Mydoom.worm.33764)
bcb69c1bab27f53a0223e255d9b60d87  msiexec2.exe (Win-Trojan/Agent.33841)
4b834eadab00115c65f3563fd1dd299a  uregvs.nls (BinImage/Host)
65ba85102aaec5daf021f9bfb9cddd16   perfvwr.dll  (Win-Trojan/Agent.65536.VE)
93322e3614babd2f36131d604fb42905    ? (Win32/Mydoom.worm.45056.D)


[공격 사이트 리스트]

청와대, 국방부, 외교통상부, 대한민국 국회, 주한 미군, 네이버 블로그, 네이버 메일, 농협 인터넷 뱅킹, 신한은행 인터넷 뱅킹, 외환은행 인터넷 뱅킹, 한나라당, 조선일보, 옥션

- banking.nonghyup.com (농협 인터넷 뱅킹)
- blog.naver.com (네이버 블로그)
- ebank.keb.co.kr (외환은행 인터넷 뱅킹)
- ezbank.shinhan.com (신한은행 인터넷 뱅킹)
- mail.naver.com (네이버 메일)
- www.assembly.go.kr (대한민국 국회)
- www.auction.co.kr (옥션)
- www.chosun.com (조선일보)
- www.hannara.or.kr (한나라당)
- www.mnd.go.kr (국방부)
- www.mofat.go.kr (외교통상부)
- www.president.go.kr (청와대)
- www.usfk.mil (주한 미군)


미국 사이트도 있다. (변형에 따라 공격 웹사이트가 다를 수 있음)

- finance.yahoo.com
- travel.state.gov
- www.amazon.com
- www.dhs.gov
- www.dot.gov
- www.faa.gov
- www.ftc.gov
- www.nasdaq.com
- www.nsa.gov
- www.nyse.com
- www.state.gov
- www.usbank.com
- www.usps.gov
- www.ustreas.gov
- www.voa.gov
- www.voanews.com
- www.whitehouse.gov
- www.yahoo.com
- www.washingtonpost.com
- www.usauctionslive.com
- www.defenselink.mil
- www.marketwatch.com
- www.site-by-site.com



[감염경로]

현재까지 이 악성코드의 정확한 전파 경로는 알려져 있지 않다.
하지만, 이 악성코드를과 연관된 다른 악성코드가 확인되었다.

[트래픽]

DDoS 공격은 크게 TCP/80(HTTP)와 UDP/80, ICMP 등
한대의 PC에서 특정 사이트로 초당 100 패킷 7 KB 발생

뉴스 등에 따르면 악성코드에 감염된 컴퓨터가 1만 8천대 정도 동원되었다고 함


[진단 및 치료]

알려진 변형을 제외하고 안철수연구소 V3에서 진단/치료가 가능하지만
V3를 사용하지 않는 사용자들을 위해 전용 백신을 발표했다.

- 안철수연구소 전용백신
http://kr.ahnlab.com/downLoadFreeVaccine.ahn?filename=v3fileclean.exe

안철수연구소 전용백신


[마무리]

몇 대의 시스템이 악성코드에 감염되어 이번 공격에 이용되었는지 알 수 없지만 악성코드의 위험성을 알게된 사건이 아닐까 싶다.

몇 시간 동안 네이버 메일과 쪽지 서비스 등이 제대로되지 않아 불편이 많았을 것이다.
그런데, 이런 공격을 하는 시스템은 감염된 개인 컴퓨터일 가능성이 높다. 이 글은 읽는 사람들 중에도 감염되어 공격 패킷을 쏘고 있을지 모른다. 한번 자신의 컴퓨터를 최신 백신으로 검사해보는건 어떨까 ?


[관련자료]

- 신종 분산서비스거부공격(DDoS)에 따른 "주의" 경보발령 (KrCERT/CC)
http://www.krcert.or.kr/noticeView.do?num=340

- DDoS 공격용 악성코드 전용백신 무료 제공 (안철수연구소)
http://kr.ahnlab.com/company/pr/comIntroKoNDView.ahn?B_SEQ=143302
Posted by M-Stoned7

트랙백 주소 : http://xcoolcat7.tistory.com/trackback/520 관련글 쓰기

  1. Subject : [DDOS] 국내외 주요 사이트 공격 피해

    Tracked from Virus Lab 2009/07/08 06:58  삭제

    악성코드에 의해서 상황이 발생하고 있다. 현재 몇 개의 악성코드가 알려지고 있으며, 그 중 하나는 다음과 같다. http://www.virustotal.com/analisis/f9feee6ebbc3dc0d35eea8bf00fc96cf075d59588621b0132b423a4bbf4427d4-1247000860 공격 대상 사이트 - www.president.go.kr (청와대) - www.mnd.go.kr (국방부) - www.mofat.go.kr (..

  2. Subject : 네이버, 옥션 등 DDoS공격은 악성코드 때문

    Tracked from 좋은진호의 여유만만 2009/07/08 10:31  삭제

    어제 네이버 메일과 쪽지기능, 옥션(auction.co.kr), 조선닷컴(chosun.com), 청와대(www.president.go.kr), 국방부(www.mnd.go.kr), 은행사이트, 그리고 백악관 등 다수 사이트가 DDoS공격을 받았다. 지금도 청와대, 국방부, 조선닷컴, 옥션 등이 원할게 접속되지 않는다. 네이버 블로그도 일부 개인 페이지들이 제대로 보이지 않는 경우가 있다. 그 원인은 악성코드 때문이었다. 쿨캣님의 블로그( http://..

  3. Subject : 국내 대형 사이트 공격 피해 (2009.07.07)

    Tracked from 울지않는벌새 : Security, Movie & Society 2009/07/08 10:33  삭제

    오늘 저녁경부터 청와대, 한나라당, 조선일보, 옥션, 네이버 등의 국내 대형 사이트 서비스가 원인을 알 수 없는 공격에 한 때 접속이 되지 않았다고 합니다. 현재도 일부 사이트들은 접속시 느리게 동작하고 있으며, 일부 사이트는 여전히 접속이 되지 않고 있다고 합니다. 조선일보에서는 인터넷 대란 어쩌구하는데 그건 그 쪽 사정이고, 이런 일은 근래 네이버를 보면 쉽게 느끼는게 카페 접속시 페이지를 찾을 수 없다는 메시지를 심심찮게 볼 수 있었으므로 아마..

  4. Subject : 주요 사이트에 DDoS 공격 발생

    Tracked from Programming Internals 2009/07/08 12:05  삭제

    어제(2009년 7월 7일) 주요 국내웹사이트(청와대, 국회, 국방부, 옥션, 네이버메일, 조선닷컴, 농협 등의 일부 은행,...)에 분산 서비스 거부 공격이 있었다. 옥션의 경우 오늘도 접속이 원활하지 않은 것으로 보인다. 현재(7월8일 오전 10시) 옥션 접속을 하면 페이지를 표시할 수 없다고 나온다. (지금까지 일부 사이트에 DDoS공격

  5. Subject : 7.7 대란 DDoS 사태를 보고.....

    Tracked from 열심히..재밌게 살자 2009/07/08 13:48  삭제

    어제저녁 7시경... NHN이 DDoS를 당한다는 소리를 들었다. 뭐 현업에 있는 나로써는.. 흔한 일이고 하니 "NHN은 인력이나 장비나 빵빵하니까 잘 막을꺼야~" 라고 퇴근을 했다. 근데 11시에 다시 확인해보니.. NH...

  6. Subject : 네이버, 옥션, 청와대 공격 악성코드 분석

    Tracked from 쿨캣의 블로그 놀이 2009/07/08 16:15  삭제

    Msiexec1.exe (Win-Trojan/Downloader.374651) 실행 : 윈도우 시스템 폴더에 패킷 관련 WinPcap 파일(Packet.dll, WanPacket.dll, wpcap.dll) 및 악성코드 생성(wmcfg.exe 와 wmiconf.dll) WinPcap 파일은 패킷 캡쳐에 사용되는 파일이지만 패킷 생성에도 악용되는 파일로 정상 파일임 한가지 재미있는건(?) Mutex 이름이 '_MUTEX_AHN_V3PRO_' 이다. 요..

  7. Subject : 네이버, 청와대 접속불가 사태 정리 - 악성코드의 DDoS 공격

    Tracked from chatii의 웹노트 2009/07/08 19:51  삭제

    7월 7일, 네이버와 청와대 등 주요 웹사이트에 접속이 되지 않는 사태의 직접적인 원인은 악성코드입니다. 악성코드에 감염된 수만 대의 개인 PC에서 서버에 대해 DDoS 공격을 감행함으로써 생긴 문제인데, 해킹과는 달리 개인정보가 유출되거나 하지는 않으므로 일단은 안심하셔도 좋습니다. 악성코드 피해 일지 최초의 공격 리스트에는 국내 사이트가 없었다. 이 악성코드에 의한 피해는 지난 7월 4일 미국에서 처음 보고되었습니다. 원래는 백악관과 미 연방 항..

  8. Subject : DDOS공격 사태의 핵심

    Tracked from 숲속얘기의 조용한 카페 2009/07/09 10:20  삭제

    1. 네이버가 국정원이 뚫렸다? 정보의 외곡을 전하고 있는 언론DDOS가 뭔지도 모르는 자극적인기사를 쓰기위해 달리는 우리의 언론들은 뚫렸다는 용어를 남발한다. 장사하는데 문앞을 가로막고 손님 못오게 하는 것이 바로 DDOS기술이다. 물론 그 기법과 함께 다른 기법을 동시에 사용하여 가게로 침입하는것이 일반적이나 정말 침입되었고 미 국방성

  9. Subject : 분산서비스거부공격(DDoS) - 오해와 진실

    Tracked from D's World 2009/07/09 15:31  삭제

    지금 DDoS(Distributed Denial of Service)에 관한 이야기로 후끈 달아오르고 있는데요. 그 와중에 잘못된 정보가 부풀려저 전달되는 경우를 많이 찾아볼 수 있습니다. 이 망할 손가락이 가만히 있질 못해서 DDoS에 관한 오해와 진실이라는 다소 거창한 이름으로 DDoS에 대해 설명해 볼까 합니다.(CCNA공부해야 하는데 ㅠㅠ) 먼저 '디도스'는 잘못된 표현입니다. DDoS는 발전된 DoS(Denial of Service)의 형태..

  10. Subject : "사이버 태러"배후는 조중동

    Tracked from D's World 2009/07/09 15:31  삭제

    지금 한창 디도스라는 뭔가 알수없는 정체의 것이 유행하고 있다고 언론에서 떠듭니다. 디도스? 그건 뭔가요? 먹는건가요? 우걱우걱 DDoS가 디도스면 DoS는 도스인가요? 뭔가요? 도대체 이 의미와 출처를 알 수 없는 언론의 '발음(원어)'병기는 그 의도가 무엇인지 모르겠습니다. 먼저 DDoS는 Distributed Denial of Service의 약자로 DoS(Denial of Service)를 여러대의 좀비 PC에서 나누어서 행하는 것을 말합니다..

  11. Subject : DDoS 악성코드들의 연관 관계 상세 분석

    Tracked from ASEC Threat Research 2009/07/10 04:10  삭제

    2009년 7월 7일 대한민국에서는 분산 서비스 거부 공격(DDoS)으로 인해 다수의 정부와 민간 업체들의 홈페이지가 접속 불능이 되는 사고가 발생하였다.이번 사고에 대해 ASEC에서는 7월 6일 저녁 무렵부터 신속하게 분산 서비스 거부 공격이 발생한 원인을 파악하기 시작하여 7월 7일 새벽 이번 공격은 다수의 악성코드에 의해서 발생한 것으로 파악하였다.이 번에 발생한 분산 서비스 거부 공격은 하나의 악성코드에 의해서 동시 다발적으로 발생한 것이...

  12. Subject : http://www.ourmidland.com

    Tracked from http://www.ourmidland.com 2012/06/07 21:35  삭제

    쿨캣의 블로그 놀이 :: 네이버, 옥션, 청와대 접속 문제의 비밀

  13. Subject : cell phone lookup

    Tracked from cell phone lookup 2012/07/01 23:32  삭제

    쿨캣의 블로그 놀이 :: 네이버, 옥션, 청와대 접속 문제의 비밀

댓글을 달아 주세요

  1. 바곳 2009/07/08 02:16  댓글주소  수정/삭제  댓글쓰기

    jotSun 일보는 역시 달라도 뭔가 다르군요....쿨럭 -_-;

    • 쿨캣 2009/07/08 07:39  댓글주소  수정/삭제

      기사 제목 말씀이신가요 ? ㅎ 다만.. 제목대로라면 조선일보도 해킹 당한게되어서.. 자기 얼굴에 침 뱉기라 TT

  2. 벌새 2009/07/08 02:23  댓글주소  수정/삭제  댓글쓰기

    생각보다 빨리 원인을 제공하는 샘플이 발견된 것 같군요

  3. Sun2Day 2009/07/08 03:55  댓글주소  수정/삭제  댓글쓰기

    왜 안되는지 소문이 무성했는데.. 이 때문이군요.. =ㅁ=;;

    • 쿨캣 2009/07/08 07:40  댓글주소  수정/삭제

      그래도.. 초기부터 DDoS 공격일꺼라고 얘기가 나왔는데 확인이 빨리된거죠. (11시쯤에 알려졌으니 5시간이면 느린걸까요 ? ^^)

  4. Gray 2009/07/08 05:56  댓글주소  수정/삭제  댓글쓰기

    잘보고 갑니다..악성코드를 분석하는 초보에게 좋은 자료가 되었습니다

  5. 엔시스 2009/07/08 07:48  댓글주소  수정/삭제  댓글쓰기

    잘 보았습니다..어제부터 인터넷이 불안불안 했는데 이유가 있었군요..

    • 쿨캣 2009/07/08 08:04  댓글주소  수정/삭제

      몇몇 사이트만 그랬지만... 악성코드 제작자가 마음만 먹으면 이 리스트가 더 늘어날 수 있겠죠.

  6. 문준호 2009/07/08 08:33  댓글주소  수정/삭제  댓글쓰기

    좋은 정보 감사합니다....

  7. miaou 2009/07/08 08:48  댓글주소  수정/삭제  댓글쓰기

    저 악성 파일들을 한번 다운로드 받아 살펴보고싶은데요.. 구할수 있는 방법이 있을까요? 흐음..

    • 쿨캣 2009/07/08 08:54  댓글주소  수정/삭제

      죄송합니다. 회사 정책상 악성코드 샘플의 외부 반출은 엄격히 금지되어 있습니다. 이점 양해 부탁드립니다.

  8. Jupit3r 2009/07/08 09:13  댓글주소  수정/삭제  댓글쓰기

    잘 보았습니다. 이거참... 그나마 빨리 파악되어 다행이네요. 정말 무시무시한 일들이 많이 일어나네요..

  9. 물여우 2009/07/08 10:04  댓글주소  수정/삭제  댓글쓰기

    이번 악성코드는 어떤 방식으로 배포가 된건지도 궁금하네요.

  10. 2009/07/08 10:07  댓글주소  수정/삭제  댓글쓰기

    중국발 보다는 국내에서의 소행으로 보여지네요..

    약간 정치적 악의성이 보이는군요..

    아무리 싫고 개판이라 하더라도 여러사람이 쓰고, 어떤 이에게는 정말 중요한 사이트일 수 있는데

    좀 안타깝습니다.

    • 쿨캣 2009/07/08 10:27  댓글주소  수정/삭제

      제작자를 잡아야 의도를 알 수 있겠죠. 국내발일 수도 있지만 최근까지 국내에 이런 악성코드 제작 사례가 없었던지라...

  11. 좋은진호 2009/07/08 10:32  댓글주소  수정/삭제  댓글쓰기

    좋은 정보 감사합니다. 이제 어떻게 배포됐는지와 개인 PC의 치료가 관건이군요.

  12. 숲속얘기 2009/07/08 10:39  댓글주소  수정/삭제  댓글쓰기

    정치성과 범죄성이 같이 엮여있다는 생각이드는군요. 순수히 정치성이었다면 차라리 비호를 받을만한 세력이 있겠으나, 은행까지 공격을 했다는건.. 다분히 악의적인 목적이었다는 느낌이 강합니다. 감염된 봇들의 위치를 파악한다면, 국내발문제인지 해외문제인지 쉽게 알 수 있지 않을까요? 공격자가 그정도 조치는 이미 취했을라나...

    • 쿨캣 2009/07/08 12:42  댓글주소  수정/삭제

      감염된 시스템은 국내에 있었다고 하네요. 그래서, 공격지를 역으로 찾아서 샘플을 수집했습니다. 문제는 어떻게 이렇게 광범위하게 악성코드를 뿌렸냐 이겠죠. (여러가지 방법이 있을겁니다만...)

    • 숲속얘기 2009/07/09 10:40  댓글주소  수정/삭제

      그렇다면 최초 감염 루트로 밝혀질 서비스는... 이미지 피해가 막대하겠군요. ㄷㄷㄷ

    • 쿨캣 2009/07/09 10:43  댓글주소  수정/삭제

      경찰이나 정부 기관에서 최초 유포지를 찾기 위해 노력하고 있다고 하네요. 일단 지켜봐야겠죠.

  13. 김봉남 2009/07/08 10:58  댓글주소  수정/삭제  댓글쓰기

    옥션친구 지마켓친구 이베이 낄낄낄

  14. 뽕다르 2009/07/08 11:00  댓글주소  수정/삭제  댓글쓰기

    공격리스트가 뭔가 정치적으로도 목적이 있는듯하네요.

  15. 2009/07/08 11:32  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다

  16. gongc 2009/07/08 12:30  댓글주소  수정/삭제  댓글쓰기

    야 이눔아~ 장가 안가냐~
    난 미니홈피 손놓고 얼마전에 facebook 시작했는데 적응 안 된다. 혹시 너두 하는지.
    암튼 울회사 IT사람이 요즘 바이러스 때문에 고민하길래 니가 생각나서 와봤다.
    잘 지내지.
    나중에 함 봤으면 좋겠다. 너무 세월 빨리 간다...쩝
    참고로 난 계속 같은 회사. 같은 신랑. 애는 없고. 잘 지낸다 ^^

    • 쿨캣 2009/07/08 12:46  댓글주소  수정/삭제

      난 또 누구라고.. 공이군... 쩝
      장가 가야하는데 여자도 없고 일은 이렇게 생기고 TT
      - 괜찮은 사람있으면 소개 좀 ㅎㅎ

      참.. 진국이 장가간거 아냐 ? ㅋ

      참고로 나도 계속 같은 회사, 없는 여친, 애도 없고. 잘 지낸다 ^^

  17. Ryan 2009/07/08 12:56  댓글주소  수정/삭제  댓글쓰기

    잘보았습니다... 새로운? 패턴의 DDoS 공격이군요... 잡기도 힘들꺼 같고... 아무튼 대단하십니다... 이렇게 빨리 원인이 파악되었다니...!

    • 쿨캣 2009/07/08 14:01  댓글주소  수정/삭제

      해외에서는 종종 볼 수 있었는데... 정치적 의도를 가진것으로 보이며 국내 사이트를 공격하는건 제 기억에는 처음 인 듯 합니다. 보통 소규모 사이트 공격 후에 돈을 뜯어냈었죠.

  18. 코엄마 2009/07/08 13:10  댓글주소  수정/삭제  댓글쓰기

    휴.. 감사합니다. 혼자서 왜 옥션이 안열리는지 헤메고 있었네요. 감사드려요.

    • 쿨캣 2009/07/08 14:02  댓글주소  수정/삭제

      네.. 어제부터 .. 이래저래 이슈가 많네요. 저도 어제 저녁에 신한은행 접속하려했는데 안되어서... 별생각 없이 퇴근했었는데.. 이런일이 TT

  19. gongc 2009/07/08 14:01  댓글주소  수정/삭제  댓글쓰기

    난 또 누구라고.. 공이군... 쩝 -> 쩝이라니!! -_-++

    진국이 장가갔냐????? 완전 깜놀! 인석이 말도 안 하고...흠..
    이제 너만 남았군. ㅋㅋ
    내 한번 알아보지..너의 이상형을 말해줘라 오바. 비현실적으로 말하면 알지? ㅋㅋ

    • 쿨캣 2009/07/08 14:03  댓글주소  수정/삭제

      ㅋㅋ 은x이가 얘기 안했나보군. 신x 이랑 결혼했다. 놀랍지 ? ㅋ 10년 이상 친구로 지내다가 결혼이라니... 흠... 비현실적인 이상형은 없고 ... 그냥 그냥 귀여운 스타일...(다만 여자들이 귀엽다는건 남자가 귀엽다는거하고 좀 다르던데...ㅋ) TT 얼굴이 좀 통통한(뚱뚱한거 아님 ㅎㅎ) 스타일 좋아하더만....

  20. 마모군 2009/07/08 15:56  댓글주소  수정/삭제  댓글쓰기

    아아..
    제 컴에있는 X3가 실시간검사로 잡아냈던데.. 프로그램(?)이름이.. msiexec5.exe 더군요?? 대체 뭐가 뭔지..

    • 쿨캣 2009/07/08 16:29  댓글주소  수정/삭제

      마모군님의 컴퓨터도 이번 공격에 동원되었을지도 모르게네요. 잘 치료하셨다니 다행입니다.

  21. 2009/07/09 23:32  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다



티스토리 툴바