Msiexec1.exe (Win-Trojan/Downloader.374651) 실행
: 윈도우 시스템 폴더에 패킷 관련 WinPcap 파일(Packet.dll, WanPacket.dll, wpcap.dll)
   및 악성코드 생성(wmcfg.exe 와 wmiconf.dll)
  
안철수연구소 분석 정보 : http://kr.ahnlab.com/admSIVirusViewForHtml.ahn?seq_no=28838

WinPcap 파일은 패킷 캡쳐에 사용되는 파일이지만 패킷 생성에도 악용되는 파일로 정상 파일임

한가지 재미있는건(?) Mutex 이름이 '_MUTEX_AHN_V3PRO_' 이다.
요즘 안랩 제품을 사칭하는 악성코드가 많이 등장하고 있다. (대부분 중국산이다. 이런 나쁜...)

_MUTEX_AHN_V3PRO_




wmiconf.dll (Win-Trojan/Agent.67072.DL)
: uregvs.nls에서 공격 주소를 얻어와 공격 트래픽 발생

wmiconf.dll 이외에 perfvwr.dll 등의 이름으로도 존재한다.
즉, 다수 변형이 존재하는 것으로 추정된다.
 
안철수연구소 분석 정보 : http://kr.ahnlab.com/admSIVirusViewForHtml.ahn?seq_no=28882

msiexec2.exe (Win-Trojan/Agent.33841)
: 공격 주소 리스트를 담고 있는 uregvs.nls 파일을 생성

다른 이름의 EXE 파일이 다수 존재하며 실행되는 변형에 따라 다른 공격 주소를 담은 uregvs.nls 파일이 생성될 수 있다.

실행되면 uregvs.nls 파일을 생성하고 vme.bat로 자신을 삭제한다.
악성코드 제작자는 공격 주소를 담고 있는 이들 EXE와 실제 공격하는 DLL 파일을 별도로 배포한게 아닐까하는 추정을 해본다.

 
uregvs.nls (BinImage/Host)
: 공격 주소 리스트를 담고 있는 파일

  msiexec2.exe, msiexec3.exe 등에 의해 생성되며 변형에 따라 조금씩 다른 주소를 담고 있을 수 있다.
  만약 이 주소를 다른 웹사이트로 바꾸면 해당 웹사이트가 공격 당한다.

공격할 웹사이트 주소를 담고 있는 uregvs.nls



* 국내에는 왜 7월 7일 보고되었는가 ?

미국 사이트로 공격은 7월 4일에 발생했다고 한다.
- 7월 4일 ? 미국 독립기념일인데...

이 악성코드가 국내에 첫 보고된건 2009년 7월 5일 일요일이었다.
그때부터 우리나라에서 미국 사이트로의 공격은 시작되었다.

그런데, 국내에는 7월 7일에 국내 사이트가 공격 받으면서 크게 알려졌다.
왜 그럴까 ?!

악성코드 초기 버전이 만든 uregvs.nls 파일을 보면 한국 관련 사이트는 없고 미국 정부 사이트만 공격했음을 알 수 있다.

초기 버전 uregvs.nls 파일


초기 버전과 이후 버전

초기 버전과 이후 한국 관련 사이트가 추가된 이후 버전


이후 한국 사이트는 새롭게 추가된 것이다.

따라서, 공격 리스트는 다음과 같다.


* 공격 사이트 변화

(다음 내용은 팀내 모 님께서 변환해 주신 자료입니다.)

- 한국 시간 기준입니다. 해외는 달라집니다.

---------------------------------------------------
#1 uregvs.nls
---------------------------------------------------

2009/07/05 02:00 ~ 2009/07/05 14:00

최초 공격. 미국 몇개 사이트만 공격했습니다.

www.whitehouse.gov
whitehouse.gov
www.faa.gov
faa.gov
evisaforms.state.gov
 
---------------------------------------------------
#2 uregvs.nls
----------------------------------------------------

2009/07/05 22:00 ~ 2009/07/06 07:00

사이트가 더 추가됩니다.

www.whitehouse.gov
www.faa.gov
www.ustreas.gov
www.dhs.gov
www.state.gov
www.dot.gov
www.ftc.gov
www.nsa.gov
www.usps.gov
www.voa.gov
www.yahoo.com
www.defenselink.mil
travel.state.gov
www.nyse.com
www.nasdaq.com
www.site-by-site.com
www.marketwatch.com
finance.yahoo.com
www.usauctionslive.com
www.usbank.com
www.amazon.com
 

---------------------------------------------------------------
#3 uregvs.nls 
---------------------------------------------------------------

2009/07/05 22:00 ~ 2009/07/06 18:00

www.voa.gov 대신 www.voanews.com 로 바뀝니다.


www.whitehouse.gov
www.faa.gov
www.ustreas.gov
www.dhs.gov
www.state.gov
www.dot.gov
www.ftc.gov
www.nsa.gov
www.usps.gov
www.voanews.com
www.yahoo.com
www.defenselink.mil
travel.state.gov
www.nyse.com
www.nasdaq.com
www.site-by-site.com
www.marketwatch.com
finance.yahoo.com
www.usauctionslive.com
www.usbank.com
www.amazon.com
 

---------------------------------------------------------------
#4. uregvs.nls 
---------------------------------------------------------------


2009/07/07 18:00 ~ 2009/07/08 18:00

- 7월 7일 발생한 국내 공격. 한국 정부 사이트와 미국 사이트를 공격합니다.

www.president.go.kr     
www.mnd.go.kr                    
www.mofat.go.kr
www.assembly.go.kr
www.usfk.mil
blog.naver.com
mail.naver.com
banking.nonghyup.com
ezbank.shinhan.com
ebank.keb.co.kr
www.hannara.or.kr
www.chosun.com
www.auction.co.kr
 

2009/07/07 21:00 ~ 2009/07/08 07:00

www.whitehouse.gov
www.faa.gov
www.dhs.gov
www.state.gov
www.voanews.com
www.defenselink.mil
www.nyse.com
www.nasdaq.com
finance.yahoo.com
www.usauctionslive.com
www.usbank.com
www.washingtonpost.com
www.ustreas.gov
 

---------------------------------------------------------------
#5. uregvs.nls 
---------------------------------------------------------------

- 7월 8일 보안 업체 등을 추가한 2 차 공격

2009/07/08 18:00 ~ 2009/07/09 18:00

www.mnd.go.kr
www.president.go.kr
www.ncsc.go.kr
mail.naver.com
mail.daum.net
mail.paran.com
www.auction.co.kr
www.ibk.co.kr
www.hanabank.com
www.wooribank.com
www.altools.co.kr
www.ahnlab.com
www.usfk.mil
www.egov.go.kr
 
- 3 차 공격

2009/07/09 18:00 ~ 2009/07/10 18:00

mail.naver.com
mail.daum.net
mail.paran.com
www.egov.go.kr
www.kbstar.com
www.chosun.com
www.auction.co.kr



악성코드 작성 일시를 보면 최초 버전은 2009년 7월 5일임을 알 수 있다.
즉, 미국 사이트를 공격하는 초기 버전을 작성하고 (미국 현지 시간은 7월 4일 독립기념일) 이후 국내 사이트를 추가했음을 알 수 있다.


그럼.. 작성 날짜와 시간별로 변형들과 증상을 정리해보면 다음과 같다.

- 2009/07/05 08:51:56 UTC : 미국 정부 사이트만 공격
- 2009/07/05 11:17:28 UTC : 미국 정부 사이트만 공격
- 2009/07/06 04:21:24 UTC : 미국 정부 사이트만 공격
- 2009/07/06 06:23:02 UTC : 미국 정부 사이트만 공격
- 2009/07/07 04:22:54 UTC : 한국 사이트 + 미국 사이트

즉, 악성코드 제작자는 2009년 7월 5일 (혹은 그 이전)에 처음 악성코드를 배포했을 때는 미국 정부 사이트만 공격했고 7월 7일 새벽에 만든 버전부터 국내 사이트를 추가했음을 알 수 있다.

악성코드 제작자는 처음부터 한국 정부 사이트를 노린게 아니라....
미국 정부 사이트를 노렸다. 그것도 미국 독립 기념일인 7월 4일에 맞춰서...
그후에 한국을 그냥 추가했을 뿐이다.
(무슨 음모론 같은...)

혹은 반대로 미국을 테스트하고 마지막으로 한국을 넣었을지도...

진실은 저 너머에....


 


 

Posted by mstoned7

댓글을 달아 주세요

  1. 벌새 2009.07.08 17:01 신고  댓글주소  수정/삭제  댓글쓰기

    역시 중국에서 만들어진 것 같군요.

    한국을 유포지로 하기 위해 한국 좀비 PC를 만들어서 미국으로 공격한 후, 감사의 뜻으로 한국도 포함해 준 것 같아요. ㅎ

  2. iwillhackyou 2009.07.08 17:21  댓글주소  수정/삭제  댓글쓰기

    중복 실행을 v3이름을 빌려서 체크하는 군요 -_-;
    해킹툴이 버전 올라갈 때마다 문자열로 대화를 시도하던게 생각나네요..

    • mstoned7 2009.07.08 17:27 신고  댓글주소  수정/삭제

      요즘에 mutex나 파일 이름은 안랩이나 V3로 가장한 중국산 샘플들이 많습니다. 제작자 만나면 한번 물어보고 싶네요. 차라리 중국 만세라고 넣지 @.@.... 왜 자신들의 적(?)을 사칭하는지... .쩝

  3. 둘리 2009.07.08 17:38  댓글주소  수정/삭제  댓글쓰기

    7월 4일에 미국 사이트를 초토화 시킨 후 7월 5일에 국내에 첫 보고 되었다..
    이 말을 다시 풀이 하면 무서운넘들을 5일날 발견 했는 데 설마 우리나라까지 그러겠어?하는 안일함으로 지켜보다가 7일부터 지금까지 해당 악성코드의 무서움을 몸소 느끼고 있다.는 말로도 들리는 군요.. 이그..
    5일이나 6일에 좀 대비를 했으면 이렇게 크게는 안당했을텐데..;; 완전 뒷북 행정이군요..

    • mstoned7 2009.07.08 17:46 신고  댓글주소  수정/삭제

      아.. 시간차가 있으니까요. 미국 7월 4일일 때 우리나라는 7월 5일이었는데.. 문제는 공격이 미국으로 이뤄져서 국내에서는 몰랐거나 알아도 무시(?)했거나 그랬을 겁니다. 그리고 7월 7일에 문제가 발생했을 때 밤 11시쯤 문제 샘플이 발견되었는데 이미 V3에서 진단되고 있었습니다. 이슈는 1만 8천대의 컴퓨터에 백신이 안 깔려있거나 최신 버전이 아니었겠죠. (V3가 아니었거나....)

  4. 아리새의펜촉 2009.07.08 22:09  댓글주소  수정/삭제  댓글쓰기

    우와! 분석 잘 하셨네요. 참 혹시 샘플 구할 수 없을까요?

  5. 숲속얘기 2009.07.09 11:17  댓글주소  수정/삭제  댓글쓰기

    수고하십니다. 란 말 밖에는.. ^^; 이번 기회에 보안에 대한 시선개선이나 법령이라도 좀 생겼으면 좋겠네요.

  6. avideditor 2009.07.09 13:57  댓글주소  수정/삭제  댓글쓰기

    동아일보기사...김정운DDOS사이버공격조 기사보고 웃겨죽는줄알았습니다..^^;

    참 한심하다는 생각이..

    좋은글 잘 봤습니다.감사합니다..