DDoS 공격 악성코드 ... 디스크 파괴는 7월 10일 0시 이후...

앞서 밝힌 파괴 증상이 7월 10일 0 시로 밝혀졌습니다.

[관련기사]

- "좀비 PC, 10일 0시 이후 하드디스크 스스로 삭제" (디지털데일리)
http://www.ddaily.co.kr/news/news_view.php?uid=51873

- 좀비PC 하드디스크 스스로 파괴, 파장 얼마나 미칠까 (디지털데일리)
http://www.ddaily.co.kr/news/news_view.php?uid=51874

- DDoS 3차 공격 약화 ... 좀비 PC 파괴시작(연합뉴스)
http://www.yonhapnews.co.kr/economy/2009/07/10/0303000000AKR20090710001300017.HTML?template=2085

- DDoS 대란 너머 PC 대란 오나 (머니투데이)
http://www.mt.co.kr/view/mtview.php?type=1&no=2009071000564147791&outlink=1

[경고]

문서 등 주요 문서를 파괴하고 디스크(USB 메모리 포함)를 파괴하는 기능이 언제 실행되는지를
계속 확인하던 중 재현에 성공했을 때 10월 0이 까지 얼마 안 남은 11시가 훌쩍 넘긴 시점이었습니다.

10월 0시를 얼마 안남겨둔 시점에서 TV 자막 등을 통해 긴급하게 주의가 알려졌습니다.

안철수연구소에서도 이에 대한 경고를 올렸습니다.

[설치과정]

이번에 디스크를 파괴하는 악성코드는 Win-Trojan/Destroyer.37264 (V3 2009.07.09.00 엔진에 추가)이며 7월 8일 늦게 최초 발견되었습니다.

이 악성코드는 다른 악성코드를 통해 시스템에 다운로드되어 설치되는데 설치 과정이 다소 복잡합니다.
(해당 내용은 안철수연구소 ASEC 의 모 선임님께서 분석한 내용을 참고 했습니다.)

정확하게는 DDoS 공격의 시작인 msiexec1.exe( V3 진단명 Win-Trojan/Downloader.374651)이 실행되면 떨어지는 파일 중 하나인 wmcfg.exe (V3 진단명 Win-Trojan/Mydoom.88064)입니다. 이 파일이 실행되면 mstimer.dll (V3 진단명 Win32/Mydoom.worm.45056.D)이 설치되고 시스템에 등록됩니다. mstimer.dll 이 핵심적인 역할을 하는데  웹사이트에서 flash.gif (V3 진단명 BinImage/Destroyer)를 다운로드 합니다.

이 파일은 확장자는 GIF 의 그림파일이지만 실제로는 JPG 파일이며 끝에 EXE 파일이 붙어 있습니다. 이런 기법은 다른 악성코드에서도 많이 사용됩니다. 그림 파일인 것 처럼 위장해서 보안 프로그램을 회피하기 위한 목적으로 보입니다.

물론 서버에 올려진 flash.gif 파일이 이번에는 디스크 파괴 트로이목마이지만 백도어였으면 사용자 컴퓨터에서 정보를 빼갈 수 있었을 겁니다.

이 파일에서 실행파일을 뜯어내서 실행합니다.

이 파일이 실제 하드디스크를 파괴하는 wversion.exe (V3 진단명 Win-Trojan/Destroyer.37264)를 떨어뜨리는 프로그램입니다.

이렇게 몇단계 과정을 거쳐 사용자 컴퓨터에는 디스크를 파괴하는 wversion.exe가 설치됩니다.

mstimer.dll 는 수행하면서 'Memory Of...' 라는 제목의 스팸메일도 발송하며 특정 조건(시스템 날짜가 7월 10일)에 맞으면 wversion.exe를 실행해 파괴 활동을 수행합니다.

한가지 다행인 점은 작성된 컴파일러 버전이 높아 msvcr90.dll 이란 DLL 파일이 필요하다고 합니다. 그래서 일부 시스템에서는 파괴 활동이 발생하지 않을 수 있습니다.


[파괴 증상]

몇가지 조건이 맞을 경우 A-Z 드라이브에서 주요 파일 파괴 작업을 하고 디스크의 앞부분을 'Memory of the Independence Day'와 같은 문자열로 덮어써 파괴합니다.

이동식 디스크 (USB 드라이브)가 연결되어 있을 경우에도 데이터가 파괴됩니다. 손상된 이동식 디스크는 포맷하면 다시 사용할 수 있습니다.

당연한 얘기지만 V3 등의 백신을 최신 엔진으로 유지하고 있으면 이 악성코드의 피해를 입지 않습니다.

아쉽게도 문제는 DDoS 공격에 사용된 컴퓨터에는 백신이 설치되어 있지 않겠지만요.

[이 일을 교훈 삼아...]

며칠 동안 계속 언론을 통해서 알려져도 공격 이용된 시스템 사용자는 몰랐거나 귀찮아서 백신 검사를 안했을 수 있습니다. 데이터 손상이 얼마나 발생할지 모르지만 자신의 컴퓨터는 자신이 지키는 능력을 길렀으면 합니다.

하지만, 이런 일도 1999년 CIH 대란, 2003년 1.25 인터넷 대란 처럼 조금만 시간 지나면 잊혀 질 겁니다.
슬픈 현실이죠.

7월 10일 아침 큰 문제 없길 기도합니다

출처 : http://xcoolcat7.tistory.com/525