'하나은행 장애'에 해당되는 글 1건

  1. 2009.07.09 2차 DDoS 공격 상황 .. 보안업체 추가 및 파괴 증상 (26)

잠잠해질거라고 예상했다면 너무 순진했을까요 ?
2009년 7월 8일 수요일 오후 6시 경부터 2차 DDoS 공격이 시작되었습니다.

* 2 차 공격 웹사이트 리스트

2차 DDoS 공격은 총 16개 사이트에 대해 이뤄졌습니다.

www.auction.co.kr (옥션)
www.altools.co.kr (이스트소프트)
www.wooribank.com (우리은행)
www.president.go.kr (청와대)
mail.daum.net (다음 메일)
mail.naver.com (네이버 메일)
mail.paran.com (파란 메일)
www.hanabank.com (하나 은행)
www.ahnlab.com (안철수연구소)
www.chosun.com (조선일보)
www.egov.go.kr (전자민원 G4C)
www.ibk.co.kr (기업은행)
www.kbstar.com (국민은행)
www.mnd.go.kr (국방부)
www.ncsc.go.kr (국정원 사이버안전센터)
www.usfk.mil (주한미군)


불행히도 안랩도 포함되어 있습니다. 전용 백신 배포를 차단하기 위한것일까요 ?

안랩에서 분석한 결과에 따르면 안랩은 2009년 7월 8일 오후 6시부터 2009년 7월 9일 오후 6시까지 공격을 받습니다.
그외 포털과 국민은행, 조선일보, 옥션 등은 2009년 7월 10일 오후 6시까지 공격을 받는다고 합니다.
- 이후 새로운 버전이 등장할 수도 있겠죠.


* Memory of the Independence Day

새롭게 발견된 wversion.exe (V3 진단명 Win-Trojan/Destroyer.37264, 진단버전:2009.07.09.00)에서 데이터 파괴 기능이 발견되었습니다.

- [긴급] 제2차 DDoS공격, 악성코드 일부서 데이터 파괴 기능 발견
http://www.boannews.com/media/view.asp?idx=16981&kind=&sub_kind=

DDoS 공격과 직접 관련있지는 않지만 다음과 같은 의미심장한 문자열이 존재합니다.

'Memory of the Independence Day'


시스템에서 문서나 소스 코드 등의 데이터 파일을 찾아 원래 파일은 파괴해 버립니다.


불행히도 디스크의를 'Memory of the Independence Day'로 덮어써 버려 데이터 파괴 기능을 가지고 있습니다.
디스크가 파괴된 후에 재부팅하면 시스템이 재부팅 되지 않습니다.

아직 이 파일을 실행해주는 기능은 찾지 못해서 언제 이 파일이 실행되는지는 모릅니다.
- 목요일 ? 금요일 ? 혹은 이미.... ?!

이같은 파괴 목적이 단순 데이터 파괴 목적인지 DDoS 공격에 사용된 시스템에서 자신의 흔적을 지우기 위해서는 아닐까요 ?




* 해외 기사

- Updated MyDoom Responsibile for DDOS Attacks, Says AhnLab (PC World)
http://www.pcworld.com/article/168032/updated_mydoom_responsible_for_ddos_attacks_says_ahnlab.html?tk=rss_news

진단명 중 MyDoom이 포함되었는데 이 내용이 기사화 되었다. 그런데, 제 블로그가 링크되어 있습니다.
(다소 당황... 한글로 작성된건데...) 한국어를 할줄 아는건 아닐테고 아마도 번역기로 돌렸나봅니다.


- List of US, South Korean sites targeted in ongoing DDOS (Robert McMillan, Security Blanket)
http://blogs.csoonline.com/list_of_us_south_korean_sites_targeted_in_ongoing_ddos







Posted by mstoned7

댓글을 달아 주세요

  1. viruslab 2009.07.09 02:24  댓글주소  수정/삭제  댓글쓰기

    다들 고생이 참 많으시네요. 제작자가 하루속히 밝혀지고 잡혀야 할텐데요.

    • mstoned7 2009.07.09 02:26 신고  댓글주소  수정/삭제

      잡힐까요 TT 저희쪽에서 과거 샘플을 보다가 6월에 이미 유사 샘플이 접수되었더군요. 거기에는 선명하게 China 가 있던데.... 흠

  2. 네오 2009.07.09 05:17  댓글주소  수정/삭제  댓글쓰기

    고생이 많으셨습니다. 대체 어떻게 뿌린건지.. 암튼 그런 류(?)의 메일도 받다니..ㄷㄷㄷㄷ

  3. ww0jeff 2009.07.09 09:08  댓글주소  수정/삭제  댓글쓰기

    Wow, 소설이 현실로 ..

    첨부파일이 다음번 공격에 쓰일 악성코드에 대한 힌트 아닐까요 ^^;;

    여튼 큰 역할 하고 계십니다.

    건투를 빕니다. 건강 챙기시구요~~

  4. creata 2009.07.09 09:39  댓글주소  수정/삭제  댓글쓰기

    웜이 뿌리는 스팸같군요. 좋은 정보 감사합니다.

    • mstoned7 2009.07.09 10:36 신고  댓글주소  수정/삭제

      메일 관련 내용은 개이적으로 받았지만 오해가 발생할 수 있을 것 같아 일단 ㅈ웠습니다. 개별적으로 올릴까 생각 중입니다. (거의 가십 정도인데...)

  5. 2009.07.09 09:45  댓글주소  수정/삭제  댓글쓰기

    비밀댓글입니다

  6. 문의 2009.07.09 09:52  댓글주소  수정/삭제  댓글쓰기

    윈도우7에 카스퍼스키 KIS 2010을 사용중인데, 수시로 네트워크 공격 차단이라고 뜨더군요.

    패턴은 ICMPFlood이고, 2틀 전에는 60여차례, 어제는 20번 정도 공격이 있더군요. 오늘 아침에는 10여차례 정도, 공격이 탐지되었다는 IP를 보니, 공격리스트에 나온 기관도 한두곳도 포함되어 있는것 같습니다.

    이 공격이 감염대상을 찾기위한 공격인지 궁금하여 조언을 구합니다.

    예로 이렇게 나옵니다. 2009-07-09 오전 1:16:28 탐지: DoS.Generic.ICMPFlood 정보 없음 ICMP: 211.233.XXX.52 에서 0 로컬 포트로의 패킷

    보안관련은 먹통이어서 혹시나 하고 글을 남겨봅니다.

  7. 물여우 2009.07.09 10:32 신고  댓글주소  수정/삭제  댓글쓰기

    저도 해당 메일과 동일한 메일을 받았네요. gmail 계정으로 날라왔는데 혹시 이런 메일을 무작위로 뿌리는 악성코드도 있는 것은 아닐까 하는 생각도 듭니다.

  8. ^^ 2009.07.09 11:35  댓글주소  수정/삭제  댓글쓰기

    안녕하세요
    http://viruslab.tistory.com/891에 가보니
    메일은 스팸메일같던데요?

    • mstoned7 2009.07.09 12:35 신고  댓글주소  수정/삭제

      메일은 스팸성으로 큰 문제를 일으키지는 않지만 제목 제목 등이 이번 사건과 연관되어 있는게 아닐까 싶어서요. (추정입니다.)

  9. 허걱 2009.07.09 12:46  댓글주소  수정/삭제  댓글쓰기

    저도 gmail Inbox에 Memory Of...
    Independence <kqpkenb536@gmail.com> to me
    show details 3:01 am (9 hours ago !
    아직 파일을 열어보지는 않았지만 memory.rar
    1K 가 의심스럽네요...ㄷㄷ 네이놈검색에서 여기까지 찾아왔습니다..ㅜ 어째서 제 주소가 유포자들의 손에 들어갔을까요?ㅜ

  10. ^^ 2009.07.09 17:14  댓글주소  수정/삭제  댓글쓰기

    근데 메일 수신처 아이디야 부정확하지만 도메인이 정확하던데
    추가적인 공격대상지가 되는게 아닐까요?

  11. 장성재 2009.07.09 18:23  댓글주소  수정/삭제  댓글쓰기

    차군~
    안녕. 나야... 기억나지?
    여전히 잘 살고 있구만...
    정리해줘서 고마워~
    다들 고생이 많네.

  12. 벌새 2009.07.10 00:53 신고  댓글주소  수정/삭제  댓글쓰기

    이메일의 last는 lastfile=4000을 의미할 것으로 생각됩니다.

    볼일 다 봤으니 파괴하고 사라지겠다는 의미 같아요.