악성코드/악성코드 소식

2차 DDoS 공격 상황 .. 보안업체 추가 및 파괴 증상

쿨캣7 2009. 7. 9. 08:21
728x90
반응형

잠잠해질거라고 예상했다면 너무 순진했을까요 ?
2009년 7월 8일 수요일 오후 6시 경부터 2차 DDoS 공격이 시작되었습니다.

* 2 차 공격 웹사이트 리스트

2차 DDoS 공격은 총 16개 사이트에 대해 이뤄졌습니다.

www.auction.co.kr (옥션)
www.altools.co.kr (이스트소프트)
www.wooribank.com (우리은행)
www.president.go.kr (청와대)
mail.daum.net (다음 메일)
mail.naver.com (네이버 메일)
mail.paran.com (파란 메일)
www.hanabank.com (하나 은행)
www.ahnlab.com (안철수연구소)
www.chosun.com (조선일보)
www.egov.go.kr (전자민원 G4C)
www.ibk.co.kr (기업은행)
www.kbstar.com (국민은행)
www.mnd.go.kr (국방부)
www.ncsc.go.kr (국정원 사이버안전센터)
www.usfk.mil (주한미군)


불행히도 안랩도 포함되어 있습니다. 전용 백신 배포를 차단하기 위한것일까요 ?

안랩에서 분석한 결과에 따르면 안랩은 2009년 7월 8일 오후 6시부터 2009년 7월 9일 오후 6시까지 공격을 받습니다.
그외 포털과 국민은행, 조선일보, 옥션 등은 2009년 7월 10일 오후 6시까지 공격을 받는다고 합니다.
- 이후 새로운 버전이 등장할 수도 있겠죠.


* Memory of the Independence Day

새롭게 발견된 wversion.exe (V3 진단명 Win-Trojan/Destroyer.37264, 진단버전:2009.07.09.00)에서 데이터 파괴 기능이 발견되었습니다.

- [긴급] 제2차 DDoS공격, 악성코드 일부서 데이터 파괴 기능 발견
http://www.boannews.com/media/view.asp?idx=16981&kind=&sub_kind=

DDoS 공격과 직접 관련있지는 않지만 다음과 같은 의미심장한 문자열이 존재합니다.

'Memory of the Independence Day'


시스템에서 문서나 소스 코드 등의 데이터 파일을 찾아 원래 파일은 파괴해 버립니다.


불행히도 디스크의를 'Memory of the Independence Day'로 덮어써 버려 데이터 파괴 기능을 가지고 있습니다.
디스크가 파괴된 후에 재부팅하면 시스템이 재부팅 되지 않습니다.

아직 이 파일을 실행해주는 기능은 찾지 못해서 언제 이 파일이 실행되는지는 모릅니다.
- 목요일 ? 금요일 ? 혹은 이미.... ?!

이같은 파괴 목적이 단순 데이터 파괴 목적인지 DDoS 공격에 사용된 시스템에서 자신의 흔적을 지우기 위해서는 아닐까요 ?




* 해외 기사

- Updated MyDoom Responsibile for DDOS Attacks, Says AhnLab (PC World)
http://www.pcworld.com/article/168032/updated_mydoom_responsible_for_ddos_attacks_says_ahnlab.html?tk=rss_news

진단명 중 MyDoom이 포함되었는데 이 내용이 기사화 되었다. 그런데, 제 블로그가 링크되어 있습니다.
(다소 당황... 한글로 작성된건데...) 한국어를 할줄 아는건 아닐테고 아마도 번역기로 돌렸나봅니다.


- List of US, South Korean sites targeted in ongoing DDOS (Robert McMillan, Security Blanket)
http://blogs.csoonline.com/list_of_us_south_korean_sites_targeted_in_ongoing_ddos







728x90
반응형