보안센터

  • 분석대응정보
    • 보안공지
    • 취약점 안내
    • 악성코드 분석정보
    • 전용백신 다운로드
    • 보안위험레벨
  • DB 업데이트 내역
    • 바이러스 업데이트 내역
    • 악성코드 업데이트 내역
  • 보안이슈
    • 보안뉴스
    • 보안동향 보고서
    • 알약 뉴스레터
    • 보안칼럼
    • 보안상식
탐색 건너뛰기 링크 내위치HOME ▶보안센터 ▶분석대응정보 ▶전용백신 다운로드

전용백신 다운로드




전용백신 다운로드


악성코드 분석정보
전용백신 이름 7.7 DDoS 전용백신
작성일자 2009-07-08
전용백신 다운로드 다운로드 (1.12MB)
OS 플랫폼 Win2000, XP, Vista 번호 1
관련 보안 공지

안녕하십니까?
이스트소프트 알약 긴급대응팀입니다.
이틀 전부터 시작된 1차 DDoS 공격에 이어, 2차 DDoS 공격이 발생했습니다.

알약 홈페이지에서는DDoS 악성코드의 제거를 위한 전용백신을 배포합니다.
전용백신에는 악성코드 패턴을 분석하여 탐지할 수 있는 기능이 탑재되어 있으며 추가로 발생하는 변종에 대비하기 위한 신고 시스템을 내장하고 있습니다.

 

국가적으로 문제가 되고 있는 DDoS 공격에 대응하기 위해 사용자 여러분들의 적극적인 협조와 제보를 부탁드립니다.


이미 알약이 설치되어 있는 PC에서는 최신 업데이트 및 검사를 통해 DDoS 악성코드를 진단 및 치료 할 수 있으며 실시간 감시를 활성화하여 악성코드의 실행을 실시간으로 차단할 수 있습니다.

알약이 설치되어 있지 않은 사용자는 아래 링크를 클릭하여 알약을 설치하고 DDoS 악성코드를 차단/치료합니다.


관련 악성코드 분석 정보

2009 7월 초 알약 고객신고로 최초 접수 되었으며,

(탐지명: Generic.Mydoom.D82BAA29, 파일명: C:\WINDOWS\system32\msiexec1.exe)

 

Mydoom과 관련이 깊으며 트렌드마이크로의 경우 이번 악성코드를 Mydoom 으로 탐지하고 있습니다. 탐지명 : WORM_MYDOOM.EA

 

Mydoom의 특징은 기본적으로 IRC봇이고 DoS공격이 가능합니다.

또 이메일, 공유 폴더, 윈도우 취약점, P2P를 이용하여 전파를 시도합니다.

특이점은 Mydoom에서 쓰였던 문자열 암호화 방식이 동일하게 사용되었습니다.

 

공격 리스트는 아래와 같습니다.

 

국내

해외

www.president.go.kr

www.whitehouse.gov

www.mnd.go.kr

www.faa.gov

www.mofat.go.kr

www.dhs.gov

www.assembly.go.kr

www.state.gov

www.usfk.mil

www.voanews.com

blog.naver.com

www.defenselink.mil

mail.naver.com

www.nyse.com

banking.nonghyup.com

www.nasdaq.com

ezbank.shinhan.com

finance.yahoo.com

ebank.keb.co.kr

www.usauctionslive.com

www.hannara.or.kr

www.usbank.com

www.chosun.com

www.washingtonpost.com

www.auction.co.kr

www.ustreas.gov

www.mnd.go.kr

www.dot.gov

www.ncsc.go.kr

www.ftc.gov

mail.daum.net

www.nsa.gov

mail.paran.com

www.usps.gov

www.ibk.co.kr

www.yahoo.com

www.hanabank.com

travel.state.gov

www.wooribank.com

www.site-by-site.com

www.altools.co.kr

www.marketwatch.com

www.ahnlab.com

www.amazon.com

www.egov.go.kr

 

www.kbstar.com

 

 

msiexec(숫자).exe (main dropper)

300kb이상과 300kb이하의 악성코드는 서로 다른 악성코드를 설치하고

자신을 삭제 하여 흔적을 지웁니다..

 

300kb이상인 exe파일이 설치하는 파일은 메인 모듈로 공격 모듈과 여러 파일을 설치합니다.

따라서 공격하는 메인 모듈(dll)파일만 설치 되어 있다면 40kb이하 파일만 배포하면서

공격 리스트를 쉽게 바꿀 수 있습니다.
(반대로 공격 받을 곳에서 url을 바꾼다면 막을 수 있습니다.)

 

설치 파일 목록은 아래와 같습니다.

%SYSTEM%폴더

wmiconf.dll (악성, 메인모듈 perfvwr.dll, ntscfg.dll,)

wmcfg.exe (악성, dropper)

정상, Winpcap 모듈(wpcap.dll, packet.dll, wanpacket.dll npf.sys, npptools.dll)

pxdrv.nls (암호화된 데이터 파일)

 

설치한 wmiconf.dll은 부팅할 때마다 실행되게 하기 위해 호스트서비스에 추가시킵니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost

"wmiconf"

 

pxdrv.nls 파일은 생성을 시도하지만

213.33.116.41(53), 216.199.83.203(80), 213.23.243.210(443), 190.24.154.148 (443) 81.196.2.239 (443) 200.133.201.135 (443) (외 다수) 에 접속에 성공해야 합니다.

현재는 모두 접속 불가능한 상태이며, 접속하면 파일이 생성됩니다.

 

메인 드로퍼(300kb이상)의 경우 접속 할 ip port가 저장되어 있으며
(213.33.116.41:53, 216.199.83.203:80, 213.23.243.210:443)

위는 봇마스터의 IP로 추정이 됩니다.
접속시 시도하는 패킷의 내용은

!(0x21)

HTTP/1.1 GET /china/dns? 입니다.
주고 받는 패킷은 XOR(0xCC)로 암호화합니다.

 

(기존에 수집된 pxdrv.nls파일의 경우 또 다른 암호화로 되어 있으며

마스터로 추정되는 IP가 저장되어 있고 다운 받을 때마다 다른 목록을 가질 수도 있습니다.)

 

생성한 wmcfg.exe를 실행하고 생성한 호스트서비스를 실행합니다.

ssdpapi.dll, Ntmpsvc.dll, Netlgmr.dll, Perfb093.dat, Sysvmd.dll, Regscm.dll, maus.dl 파일이 있는지 체크하여 삭제 합니다. (모두 네트워크 모니터링 관련 파일이며 있으면 모두 삭제)

 

 wmcfg.exe (dropper)

생성되어 설치된 wmcfg.exe 4개의 리소스를 가지고 있으며, 모두 각각의 파일로 생성됩니다.

 

%SYSTEM%폴더에

mstimer.dll

(악성코드 다운로더, spam-mailer)

wversion.exe

(두 가지 종류로 예전 버전은 mstimer.dll 서비스를 삭제하고, 최신 버전은 악성코드 하드디스크 파괴)

 

%SYSTEM%\config폴더에

SERVICES

(암호화된 데이터 파일, 다운로드 할 주소를 담고 있음, mstimer.dll에서 사용됨)

SERVICES.LOG

(암호화된 데이터 파일, 상동, mstimer.dll에서 사용됨)

 

uregvs.nls (Data File)

nls파일에는 공격할 시간과 공격할 리스트가 저장되어 있으며, 공격하는 DLL 불러와 사용합니다.

 

perfvwr.dll, wmiconf.dll, ntscfg.dll(메인 공격 모듈)

실제 악성행위를 하는 DLL파일은 nls파일에서 공격할 시간과 url 불러와 공격합니다.

공격시간은 GetLocalTime 으로 얻은 시간을 SystemTimeToVariantTime 으로 실수(float) 형으로 변환해 저장한 것을 사용하고 공격 기간은 2009-07-08 18:00:00부터 2009-07-09 18:00:00까지와 같은 형식으로 24시간 동안 진행 됩니다.

 

공격방법은 CCAttack(Cache-Control Attack)으로 타겟에 수많은 좀비PC로 하여금 User-Agent를 전송하여 웹 서버를 마비시킵니다.

또 윈도우 기본 방화벽기능을 사용하지 않게 합니다.

 

MSTIMER.DLL(Trojan horse)

mstimer.dll은 다운로드 및 다운로드 받은 파일을 실행하며

감염자 PC의 파일을 조사하여 E-mail주소를 추출하여 스팸을 전송합니다.

 

다운로드 하는 주소는 모두 암호화 되어 있으며 총 8개의 주소가 있습니다.

7 10일 오전 3 47분 현재 8개중 3개가 다운로드가 되며 모두 같은 파일입니다.

 

hxxp://200.6.218.194/flash.gif (O)

hxxp://75.151.32.182/flash.gif (O)

hxxp://202.14.70.116/flash.gif (O)

hxxp://92.63.2.118/flash.gif (X)

hxxp://163.19.209.22/flash.gif (X)

hxxp://201.116.58.131/xampp/img/flash.gif (X)

hxxp://newrozfm.com/img/glyph/flash.gif (X)

hxxp://122.155.5.196/shop/images/flash.gif (X)

 

다운된 파일은 JPG RAR파일의 헤더가 엉켜 있으며 다운로더는 이 필요 없는 부분을 제거하여 실행파일(exe)형태로 저장합니다.

 

또 인터넷 임시 폴더에서 이메일 주소 수집을 위해 아래의 확장자를 대상으로 @(0x40) .(0x2E)이 붙은 문자열을 수집합니다.

(htmb, sht등 일반적인 확장자가 맞지 않지만 앞3문자만 비교함)

수집된 이메일에 스팸메일을 발송합니다.

다운로드 받은 wversion.exe를 실행 시키는 조건은

win.ini에 있는 LastName과 현재시간을 비교하여 wversion.exe를 실행합니다.

 

Wversion.exe (디스크 파괴)

PhsycalWrite함수를 26번 호출합니다.

PhysicalDrvNum 변수는 함수 내부에서 \\.\PHYSICALDRIVE[번호] 에 사용하는 번호입니다.

512 byte의 버퍼를 생성하고 0x55로 모두 초기화 하고. “Memory of the Independence Day” 문자열을 복사합니다.

(\\.\vwin32 를 열려고 시도합니다.)

파일 열기가 실패할 경우, \\.\PHYSICALDRIVE[번호] 를 열어서 버퍼에 있는 값을 512 byte만큼 복사하여 디스크 드라이브의 MBR을 모두 파괴합니다.

(\\.\PHYSICALDRIVE[번호]는 물리 하드디스크를 의미)

 
전용백신 사용방법

링크된 전용백신 파일을 다운로드 받아 PC에서 더블클릭하면 별도의 설치과정없이 바로 전용백신이 실행됩니다.

목록