777 Virus의 실체

(사진출처 CNN)

우선 777바이러스가 명한 까닭은 7월 7일 저녁7시에 시작되어서이다 앞으로 777이라 부르기로 하겟다.

7월 7일 저녁 7시에 전국의 수만대의 컴퓨터에서 일제히 국내 13개 주요사이트 미국 23개 주요사이트에 과부하 트랙픽을 쏘기 시작했다.

 한대의 컴퓨터에서 발생시키는 트래픽양은 미미하나 초당 수백번을 발생시켜
수만대의 컴퓨터에서 일제히 쏘기 시작하면 어떠한 서버라도 감당하기 힘들것이다.

이번 DDOS공격이 유별난 점은 제어서버에서 명령을 내려 이루어진것이 아니라 일명 좀비PC(감염PC)에서 정해진 시간에 일제히 트래픽을 유발 시켰다는 점이다.

따라서 예전처럼 DDOS공격이 이루어지면 제어서버만 무력화 시키면 해결이 쉽게 됐지만 이번 경우는 해결방식이 상당히 난해하다. 방통위가 해결을 위해 한행동은 해당 IP죽이기 ㅋ

어떠한 경로로 바이러스에 감염되었는지는 모르겟지만 1차때 예상 PC수가 2만 여대가 넘으니 이 숫자에 집중해 조사해나가면 되겟다. 일정시점에 동시에 2만명 수준이 감염되려면 어떠한 사이트들이 있는지는 동접자수를 감안해 좀비피시들과 교차분석하면 될것이고 일정시점이 아니라면 감염PC들을 최대한 수거분석해 모든접속사이트및 다운로드파일 분석들어가야한다.

한마디로 근원사이트까지 찾기도 힘들거고 유포자또한 찾기도 힘들것이다.
참고로 공격당한 미국사이트중에 백악관이 있는데 백안관 관계자의 말이 인상적이다.
'공격을 막은현재 이제는 누구나 접속이 가능한 상태입니다 다만 한국에서의 접속은 다소 제한될것으로 보입니다' ㅋ

한국과 동일하게 공격을 받은 미국은 한국과는 달리 언론에서조차 매우 차분한 분위기다. 현재7월 9일 2시가 넘은  한국은 3차공격이 이루어지는 오후 6시를 예의주시하고 있는데 말이다.
그이유는 미국은 이미 7월 5일 공격을 받은 상태였고 이제는 모든 사이트가 정상화 되었다.
미국에서는 이번 DDOS공격에 그리 예의주시하고 있지 않은데 유독 한국에서만큼은 언론플레이가 상당한거 같다. 북한설이 나오기도 하고...

777바이러스와 관련해 아래글을 참고하시기 바란다.

777바이러스의 실체 1

- 파일명 : msiexec2.exe
- 파일길이 : 33,841 바이트
- V3 진단명 : Win-Trojan/Agent.33841

이 파일이 실행되면 uregvs.nls 파일을 생성한다.
이 EXE 파일에는 코드 내부에 공격 리스트를 담고 있다.

실제 공격을 수행하는 파일은 DLL 파일로 현재까지 2개 파일이 발견되었다.

- 파일 이름 : perfvwr.dll
- 파일 길이 : 65,536 바이
- V3 진단명 : Win-Trojan/Agent.65536.VE


- 파일 이름 : wmiconf.dll
- 파일 길이 : 67,072 바이트
- V3 진단명 : Win-Trojan/Agent.67072.DL

DLL 파일은 공격할 리스트를 읽어들여 해당 사이트로 공격한다.



MD5                                             파일명 (V3 진단명)
------------------------------------------------------------------------------50c97bf514643d9e60980985db0908ca   wmiconf.dll (Win-Trojan/Agent.67072.DL)
0f394734c65d44915060b36a0b1a972d   msiexec1.exe (Win-Trojan/Downloader.374651)
9b08939834b2fe265ebaedccebd3d470 msiexec2.exe (Win-Trojan/Agent.24576.AVC)
6350758b62484765239057218bd81d9e   msiexec3.exe (Win-Trojan/Agent.24576.AVD)
e199d5c70745c363b734f499a3e065a9   msiexec7.exe (Win-Trojan/Agent.32768.AIK)
6e5b00560a3c5bb92dfacb3766d6d7bc msiexec5.exe (Win-Trojan/Agent.32768.AIS)
1cba81fea0f34511c026e77cfa1f0ef6     wmcfg.exe (Win-Trojan/Mydoom.88064)
04a3552a78ed2f8dc8dc9a77ee9eb281  wversion.exe (Win32/Mydoom.worm.33764)
bcb69c1bab27f53a0223e255d9b60d87  msiexec2.exe (Win-Trojan/Agent.33841)
4b834eadab00115c65f3563fd1dd299a  uregvs.nls (BinImage/Host)
65ba85102aaec5daf021f9bfb9cddd16   perfvwr.dll  (Win-Trojan/Agent.65536.VE)
93322e3614babd2f36131d604fb42905    ? (Win32/Mydoom.worm.45056.D)


[공격 사이트 리스트]

청와대, 국방부, 외교통상부, 대한민국 국회, 주한 미군, 네이버 블로그, 네이버 메일, 농협 인터넷 뱅킹, 신한은행 인터넷 뱅킹, 외환은행 인터넷 뱅킹, 한나라당, 조선일보, 옥션

- banking.nonghyup.com (농협 인터넷 뱅킹)
- blog.naver.com (네이버 블로그)
- ebank.keb.co.kr (외환은행 인터넷 뱅킹)
- ezbank.shinhan.com (신한은행 인터넷 뱅킹)
- mail.naver.com (네이버 메일)
- www.assembly.go.kr (대한민국 국회)
- www.auction.co.kr (옥션)
- www.chosun.com (조선일보)
- www.hannara.or.kr (한나라당)
- www.mnd.go.kr (국방부)
- www.mofat.go.kr (외교통상부)
- www.president.go.kr (청와대)
- www.usfk.mil (주한 미군)


미국 사이트도 있다. (변형에 따라 공격 웹사이트가 다를 수 있음)

- finance.yahoo.com
- travel.state.gov
- www.amazon.com
- www.dhs.gov
- www.dot.gov
- www.faa.gov
- www.ftc.gov
- www.nasdaq.com
- www.nsa.gov
- www.nyse.com
- www.state.gov
- www.usbank.com
- www.usps.gov
- www.ustreas.gov
- www.voa.gov
- www.voanews.com
- www.whitehouse.gov
- www.yahoo.com
- www.washingtonpost.com
- www.usauctionslive.com
- www.defenselink.mil
- www.marketwatch.com
- www.site-by-site.com



[감염경로]

현재까지 이 악성코드의 정확한 전파 경로는 알려져 있지 않다.
하지만, 이 악성코드를과 연관된 다른 악성코드가 확인되었다.

[트래픽]

DDoS 공격은 크게 TCP/80(HTTP)와 UDP/80, ICMP 등
한대의 PC에서 특정 사이트로 초당 100 패킷 7 KB 발생

뉴스 등에 따르면 악성코드에 감염된 컴퓨터가 1만 8천대 정도 동원되었다고 함


[진단 및 치료]

알려진 변형을 제외하고 안철수연구소 V3에서 진단/치료가 가능하지만
V3를 사용하지 않는 사용자들을 위해 전용 백신을 발표했다.

- 안철수연구소 전용백신
http://kr.ahnlab.com/downLoadFreeVaccine.ahn?filename=v3fileclean.exe

[마무리]

몇 대의 시스템이 악성코드에 감염되어 이번 공격에 이용되었는지 알 수 없지만 악성코드의 위험성을 알게된 사건이 아닐까 싶다.

몇 시간 동안 네이버 메일과 쪽지 서비스 등이 제대로되지 않아 불편이 많았을 것이다.
그런데, 이런 공격을 하는 시스템은 감염된 개인 컴퓨터일 가능성이 높다. 이 글은 읽는 사람들 중에도 감염되어 공격 패킷을 쏘고 있을지 모른다. 한번 자신의 컴퓨터를 최신 백신으로 검사해보는건 어떨까 ?

출처 : http://xcoolcat7.tistory.com/520

777바이러스의 실체 2

Msiexec1.exe (Win-Trojan/Downloader.374651) 실행
: 윈도우 시스템 폴더에 패킷 관련 WinPcap 파일(Packet.dll, WanPacket.dll, wpcap.dll)
  및 악성코드 생성(wmcfg.exe 와 wmiconf.dll)
 
안철수연구소 분석 정보 : http://kr.ahnlab.com/admSIVirusViewForHtml.ahn?seq_no=28838

WinPcap 파일은 패킷 캡쳐에 사용되는 파일이지만 패킷 생성에도 악용되는 파일로 정상 파일임

한가지 재미있는건(?) Mutex 이름이 '_MUTEX_AHN_V3PRO_' 이다.
요즘 안랩 제품을 사칭하는 악성코드가 많이 등장하고 있다. (대부분 중국산이다. 이런 나쁜...)

wmiconf.dll (Win-Trojan/Agent.67072.DL)
: uregvs.nls에서 공격 주소를 얻어와 공격 트래픽 발생

wmiconf.dll 이외에 perfvwr.dll 등의 이름으로도 존재한다.
즉, 다수 변형이 존재하는 것으로 추정된다.
 
안철수연구소 분석 정보 : http://kr.ahnlab.com/admSIVirusViewForHtml.ahn?seq_no=28882

msiexec2.exe (Win-Trojan/Agent.33841)
: 공격 주소 리스트를 담고 있는 uregvs.nls 파일을 생성

다른 이름의 EXE 파일이 다수 존재하며 실행되는 변형에 따라 다른 공격 주소를 담은 uregvs.nls 파일이 생성될 수 있다.

실행되면 uregvs.nls 파일을 생성하고 vme.bat로 자신을 삭제한다.
악성코드 제작자는 공격 주소를 담고 있는 이들 EXE와 실제 공격하는 DLL 파일을 별도로 배포한게 아닐까하는 추정을 해본다.

 
uregvs.nls (BinImage/Host)
: 공격 주소 리스트를 담고 있는 파일

  msiexec2.exe, msiexec3.exe 등에 의해 생성되며 변형에 따라 조금씩 다른 주소를 담고 있을 수 있다.
  만약 이 주소를 다른 웹사이트로 바꾸면 해당 웹사이트가 공격 당한다.

* 국내에는 왜 7월 7일 보고되었는가 ?

미국 사이트로 공격은 7월 4일에 발생했다고 한다.
- 7월 4일 ? 미국 독립기념일인데...

이 악성코드가 국내에 첫 보고된건 2009년 7월 5일 일요일이었다.
그때부터 우리나라에서 미국 사이트로의 공격은 시작되었다.

그런데, 국내에는 7월 7일에 국내 사이트가 공격 받으면서 크게 알려졌다.
왜 그럴까 ?!

악성코드 초기 버전이 만든 uregvs.nls 파일을 보면 한국 관련 사이트는 없고 미국 정부 사이트만 공격했음을 알 수 있다.

초기 버전과 이후 한국 관련 사이트가 추가된 이후 버전

이후 한국 사이트는 새롭게 추가된 것이다.

악성코드 작성 일시를 보면 최초 버전은 2009년 7월 5일임을 알 수 있다.
즉, 미국 사이트를 공격하는 초기 버전을 작성하고 (미국 현지 시간은 7월 4일 독립기념일) 이후 국내 사이트를 추가했음을 알 수 있다.

그럼.. 작성 날짜와 시간별로 변형들과 증상을 정리해보면 다음과 같다.

- 2009/07/05 08:51:56 UTC : 미국 정부 사이트만 공격
- 2009/07/05 11:17:28 UTC : 미국 정부 사이트만 공격
- 2009/07/06 04:21:24 UTC : 미국 정부 사이트만 공격
- 2009/07/06 06:23:02 UTC : 미국 정부 사이트만 공격
- 2009/07/07 04:22:54 UTC : 한국 사이트 + 미국 사이트

즉, 악성코드 제작자는 2009년 7월 5일 (혹은 그 이전)에 처음 악성코드를 배포했을 때는 미국 정부 사이트만 공격했고 7월 7일 새벽에 만든 버전부터 국내 사이트를 추가했음을 알 수 있다.

악성코드 제작자는 처음부터 한국 정부 사이트를 노린게 아니라....
미국 정부 사이트를 노렸다. 그것도 미국 독립 기념일인 7월 4일에 맞춰서...
그후에 한국을 그냥 추가했을 뿐이다.
(무슨 음모론 같은...)

혹은 반대로 미국을 테스트하고 마지막으로 한국을 넣었을지도...

진실은 저 너머에....

출처 : http://xcoolcat7.tistory.com/522