2009년 7월 7일 영화를 보고 집에 오는 길에 아는 형이 연락했다.
"지금 네이버하고 옥션 접속 잘 안되는데 알고 있는 사항 좀 있으면 연락줘."

집에 도착해 확인해보니 별다른 얘기가 없고 기사만 몇가지 올라와 있었다.

7월 7일 오후 6시부터 네이버 메일 및 쪽지 서비스 장애가 발생했다고 한다.
이후 기사를 통해 네이버 메일과 옥션 외에 조선일부와 청와대도 접속 장애가 발생하고 있음을 알 수 있었다.

- '사상 초유' 국내 주요사이트 해킹 '인터넷 대란' (제목이 상당히 자극적임...)
http://news.chosun.com/site/data/html_dir/2009/07/07/2009070701575.html?254bed50

- 청와대 사이트도 불통... 해커 DDOS 공격 때문?
http://www.newshankuk.com/news/news_view.asp?articleno=d20090707232908n3314

- 한 밤의 인터넷 대란 ... 네이버 메일, 은행에 이어 청와대도 먹통
http://www.eto.co.kr/?Code=20090708000456890&ts=10012


일부 언론에서 해킹이라는 표현을 사용했는데 일반인들이 해당 사이트가 해킹 된 것으로 오해할 수 있어서 공격이라는 표현이 어떨까 싶다. 또, 몇 개 사이트 접속 안되었으므로 인터넷 대란은 조금 과장된게 아닐까 싶다.

[악성코드]

밤 11시 쯤 perfvwr.dll 의 존재가 처음 알려졌으며 이후 이번 사건과 관련된 악성코드들이 속속 밝혀지고 있다.

- 파일명 : msiexec2.exe
- 파일길이 : 33,841 바이트
- V3 진단명 : Win-Trojan/Agent.33841

이 파일이 실행되면 uregvs.nls 파일을 생성한다.
이 EXE 파일에는 코드 내부에 공격 리스트를 담고 있다.

악성코드가 공격하는 리스트

실제 공격을 수행하는 파일은 DLL 파일로 현재까지 2개 파일이 발견되었다.

- 파일 이름 : perfvwr.dll
- 파일 길이 : 65,536 바이
- V3 진단명 : Win-Trojan/Agent.65536.VE


- 파일 이름 : wmiconf.dll
- 파일 길이 : 67,072 바이트
- V3 진단명 : Win-Trojan/Agent.67072.DL

DLL 파일은 공격할 리스트를 읽어들여 해당 사이트로 공격한다.



MD5                                             파일명 (V3 진단명)
------------------------------------------------------------------------------50c97bf514643d9e60980985db0908ca   wmiconf.dll (Win-Trojan/Agent.67072.DL)
0f394734c65d44915060b36a0b1a972d   msiexec1.exe (Win-Trojan/Downloader.374651)
9b08939834b2fe265ebaedccebd3d470 msiexec2.exe (Win-Trojan/Agent.24576.AVC)
6350758b62484765239057218bd81d9e   msiexec3.exe (Win-Trojan/Agent.24576.AVD)
e199d5c70745c363b734f499a3e065a9   msiexec7.exe (Win-Trojan/Agent.32768.AIK)
6e5b00560a3c5bb92dfacb3766d6d7bc msiexec5.exe (Win-Trojan/Agent.32768.AIS)
1cba81fea0f34511c026e77cfa1f0ef6     wmcfg.exe (Win-Trojan/Mydoom.88064)
04a3552a78ed2f8dc8dc9a77ee9eb281  wversion.exe (Win32/Mydoom.worm.33764)
bcb69c1bab27f53a0223e255d9b60d87  msiexec2.exe (Win-Trojan/Agent.33841)
4b834eadab00115c65f3563fd1dd299a  uregvs.nls (BinImage/Host)
65ba85102aaec5daf021f9bfb9cddd16   perfvwr.dll  (Win-Trojan/Agent.65536.VE)
93322e3614babd2f36131d604fb42905    ? (Win32/Mydoom.worm.45056.D)


[공격 사이트 리스트]

청와대, 국방부, 외교통상부, 대한민국 국회, 주한 미군, 네이버 블로그, 네이버 메일, 농협 인터넷 뱅킹, 신한은행 인터넷 뱅킹, 외환은행 인터넷 뱅킹, 한나라당, 조선일보, 옥션

- banking.nonghyup.com (농협 인터넷 뱅킹)
- blog.naver.com (네이버 블로그)
- ebank.keb.co.kr (외환은행 인터넷 뱅킹)
- ezbank.shinhan.com (신한은행 인터넷 뱅킹)
- mail.naver.com (네이버 메일)
- www.assembly.go.kr (대한민국 국회)
- www.auction.co.kr (옥션)
- www.chosun.com (조선일보)
- www.hannara.or.kr (한나라당)
- www.mnd.go.kr (국방부)
- www.mofat.go.kr (외교통상부)
- www.president.go.kr (청와대)
- www.usfk.mil (주한 미군)


미국 사이트도 있다. (변형에 따라 공격 웹사이트가 다를 수 있음)

- finance.yahoo.com
- travel.state.gov
- www.amazon.com
- www.dhs.gov
- www.dot.gov
- www.faa.gov
- www.ftc.gov
- www.nasdaq.com
- www.nsa.gov
- www.nyse.com
- www.state.gov
- www.usbank.com
- www.usps.gov
- www.ustreas.gov
- www.voa.gov
- www.voanews.com
- www.whitehouse.gov
- www.yahoo.com
- www.washingtonpost.com
- www.usauctionslive.com
- www.defenselink.mil
- www.marketwatch.com
- www.site-by-site.com



[감염경로]

현재까지 이 악성코드의 정확한 전파 경로는 알려져 있지 않다.
하지만, 이 악성코드를과 연관된 다른 악성코드가 확인되었다.

[트래픽]

DDoS 공격은 크게 TCP/80(HTTP)와 UDP/80, ICMP 등
한대의 PC에서 특정 사이트로 초당 100 패킷 7 KB 발생

뉴스 등에 따르면 악성코드에 감염된 컴퓨터가 1만 8천대 정도 동원되었다고 함


[진단 및 치료]

알려진 변형을 제외하고 안철수연구소 V3에서 진단/치료가 가능하지만
V3를 사용하지 않는 사용자들을 위해 전용 백신을 발표했다.

- 안철수연구소 전용백신
http://kr.ahnlab.com/downLoadFreeVaccine.ahn?filename=v3fileclean.exe

안철수연구소 전용백신


[마무리]

몇 대의 시스템이 악성코드에 감염되어 이번 공격에 이용되었는지 알 수 없지만 악성코드의 위험성을 알게된 사건이 아닐까 싶다.

몇 시간 동안 네이버 메일과 쪽지 서비스 등이 제대로되지 않아 불편이 많았을 것이다.
그런데, 이런 공격을 하는 시스템은 감염된 개인 컴퓨터일 가능성이 높다. 이 글은 읽는 사람들 중에도 감염되어 공격 패킷을 쏘고 있을지 모른다. 한번 자신의 컴퓨터를 최신 백신으로 검사해보는건 어떨까 ?


[관련자료]

- 신종 분산서비스거부공격(DDoS)에 따른 "주의" 경보발령 (KrCERT/CC)
http://www.krcert.or.kr/noticeView.do?num=340

- DDoS 공격용 악성코드 전용백신 무료 제공 (안철수연구소)
http://kr.ahnlab.com/company/pr/comIntroKoNDView.ahn?B_SEQ=143302
신고
Posted by mstoned7

댓글을 달아 주세요

  1. 이전 댓글 더보기
  2. 벌새 2009.07.08 02:23 신고  댓글주소  수정/삭제  댓글쓰기

    생각보다 빨리 원인을 제공하는 샘플이 발견된 것 같군요

  3. Sun2Day 2009.07.08 03:55 신고  댓글주소  수정/삭제  댓글쓰기

    왜 안되는지 소문이 무성했는데.. 이 때문이군요.. =ㅁ=;;

    • mstoned7 2009.07.08 07:40 신고  댓글주소  수정/삭제

      그래도.. 초기부터 DDoS 공격일꺼라고 얘기가 나왔는데 확인이 빨리된거죠. (11시쯤에 알려졌으니 5시간이면 느린걸까요 ? ^^)

  4. Gray 2009.07.08 05:56 신고  댓글주소  수정/삭제  댓글쓰기

    잘보고 갑니다..악성코드를 분석하는 초보에게 좋은 자료가 되었습니다

  5. 엔시스 2009.07.08 07:48 신고  댓글주소  수정/삭제  댓글쓰기

    잘 보았습니다..어제부터 인터넷이 불안불안 했는데 이유가 있었군요..

  6. 문준호 2009.07.08 08:33 신고  댓글주소  수정/삭제  댓글쓰기

    좋은 정보 감사합니다....

  7. miaou 2009.07.08 08:48 신고  댓글주소  수정/삭제  댓글쓰기

    저 악성 파일들을 한번 다운로드 받아 살펴보고싶은데요.. 구할수 있는 방법이 있을까요? 흐음..

  8. Jupit3r 2009.07.08 09:13 신고  댓글주소  수정/삭제  댓글쓰기

    잘 보았습니다. 이거참... 그나마 빨리 파악되어 다행이네요. 정말 무시무시한 일들이 많이 일어나네요..

  9. 물여우 2009.07.08 10:04 신고  댓글주소  수정/삭제  댓글쓰기

    이번 악성코드는 어떤 방식으로 배포가 된건지도 궁금하네요.

  10. 2009.07.08 10:07 신고  댓글주소  수정/삭제  댓글쓰기

    중국발 보다는 국내에서의 소행으로 보여지네요..

    약간 정치적 악의성이 보이는군요..

    아무리 싫고 개판이라 하더라도 여러사람이 쓰고, 어떤 이에게는 정말 중요한 사이트일 수 있는데

    좀 안타깝습니다.

    • mstoned7 2009.07.08 10:27 신고  댓글주소  수정/삭제

      제작자를 잡아야 의도를 알 수 있겠죠. 국내발일 수도 있지만 최근까지 국내에 이런 악성코드 제작 사례가 없었던지라...

  11. 좋은진호 2009.07.08 10:32 신고  댓글주소  수정/삭제  댓글쓰기

    좋은 정보 감사합니다. 이제 어떻게 배포됐는지와 개인 PC의 치료가 관건이군요.

  12. 숲속얘기 2009.07.08 10:39 신고  댓글주소  수정/삭제  댓글쓰기

    정치성과 범죄성이 같이 엮여있다는 생각이드는군요. 순수히 정치성이었다면 차라리 비호를 받을만한 세력이 있겠으나, 은행까지 공격을 했다는건.. 다분히 악의적인 목적이었다는 느낌이 강합니다. 감염된 봇들의 위치를 파악한다면, 국내발문제인지 해외문제인지 쉽게 알 수 있지 않을까요? 공격자가 그정도 조치는 이미 취했을라나...

    • mstoned7 2009.07.08 12:42 신고  댓글주소  수정/삭제

      감염된 시스템은 국내에 있었다고 하네요. 그래서, 공격지를 역으로 찾아서 샘플을 수집했습니다. 문제는 어떻게 이렇게 광범위하게 악성코드를 뿌렸냐 이겠죠. (여러가지 방법이 있을겁니다만...)

    • 숲속얘기 2009.07.09 10:40 신고  댓글주소  수정/삭제

      그렇다면 최초 감염 루트로 밝혀질 서비스는... 이미지 피해가 막대하겠군요. ㄷㄷㄷ

    • mstoned7 2009.07.09 10:43 신고  댓글주소  수정/삭제

      경찰이나 정부 기관에서 최초 유포지를 찾기 위해 노력하고 있다고 하네요. 일단 지켜봐야겠죠.

  13. 김봉남 2009.07.08 10:58 신고  댓글주소  수정/삭제  댓글쓰기

    옥션친구 지마켓친구 이베이 낄낄낄

  14. 뽕다르 2009.07.08 11:00 신고  댓글주소  수정/삭제  댓글쓰기

    공격리스트가 뭔가 정치적으로도 목적이 있는듯하네요.

  15. 2009.07.08 11:32  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다

  16. gongc 2009.07.08 12:30 신고  댓글주소  수정/삭제  댓글쓰기

    야 이눔아~ 장가 안가냐~
    난 미니홈피 손놓고 얼마전에 facebook 시작했는데 적응 안 된다. 혹시 너두 하는지.
    암튼 울회사 IT사람이 요즘 바이러스 때문에 고민하길래 니가 생각나서 와봤다.
    잘 지내지.
    나중에 함 봤으면 좋겠다. 너무 세월 빨리 간다...쩝
    참고로 난 계속 같은 회사. 같은 신랑. 애는 없고. 잘 지낸다 ^^

    • mstoned7 2009.07.08 12:46 신고  댓글주소  수정/삭제

      난 또 누구라고.. 공이군... 쩝
      장가 가야하는데 여자도 없고 일은 이렇게 생기고 TT
      - 괜찮은 사람있으면 소개 좀 ㅎㅎ

      참.. 진국이 장가간거 아냐 ? ㅋ

      참고로 나도 계속 같은 회사, 없는 여친, 애도 없고. 잘 지낸다 ^^

  17. Ryan 2009.07.08 12:56 신고  댓글주소  수정/삭제  댓글쓰기

    잘보았습니다... 새로운? 패턴의 DDoS 공격이군요... 잡기도 힘들꺼 같고... 아무튼 대단하십니다... 이렇게 빨리 원인이 파악되었다니...!

    • mstoned7 2009.07.08 14:01 신고  댓글주소  수정/삭제

      해외에서는 종종 볼 수 있었는데... 정치적 의도를 가진것으로 보이며 국내 사이트를 공격하는건 제 기억에는 처음 인 듯 합니다. 보통 소규모 사이트 공격 후에 돈을 뜯어냈었죠.

  18. 코엄마 2009.07.08 13:10 신고  댓글주소  수정/삭제  댓글쓰기

    휴.. 감사합니다. 혼자서 왜 옥션이 안열리는지 헤메고 있었네요. 감사드려요.

    • mstoned7 2009.07.08 14:02 신고  댓글주소  수정/삭제

      네.. 어제부터 .. 이래저래 이슈가 많네요. 저도 어제 저녁에 신한은행 접속하려했는데 안되어서... 별생각 없이 퇴근했었는데.. 이런일이 TT

  19. gongc 2009.07.08 14:01 신고  댓글주소  수정/삭제  댓글쓰기

    난 또 누구라고.. 공이군... 쩝 -> 쩝이라니!! -_-++

    진국이 장가갔냐????? 완전 깜놀! 인석이 말도 안 하고...흠..
    이제 너만 남았군. ㅋㅋ
    내 한번 알아보지..너의 이상형을 말해줘라 오바. 비현실적으로 말하면 알지? ㅋㅋ

    • mstoned7 2009.07.08 14:03 신고  댓글주소  수정/삭제

      ㅋㅋ 은x이가 얘기 안했나보군. 신x 이랑 결혼했다. 놀랍지 ? ㅋ 10년 이상 친구로 지내다가 결혼이라니... 흠... 비현실적인 이상형은 없고 ... 그냥 그냥 귀여운 스타일...(다만 여자들이 귀엽다는건 남자가 귀엽다는거하고 좀 다르던데...ㅋ) TT 얼굴이 좀 통통한(뚱뚱한거 아님 ㅎㅎ) 스타일 좋아하더만....

  20. 마모군 2009.07.08 15:56 신고  댓글주소  수정/삭제  댓글쓰기

    아아..
    제 컴에있는 X3가 실시간검사로 잡아냈던데.. 프로그램(?)이름이.. msiexec5.exe 더군요?? 대체 뭐가 뭔지..

  21. 2009.07.09 23:32  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다