어제 네이버 메일과 쪽지기능, 옥션(auction.co.kr), 조선닷컴(chosun.com), 청와대(www.president.go.kr), 국방부(www.mnd.go.kr), 은행사이트, 그리고 백악관 등 다수 사이트가 DDoS공격을 받았다. 지금도 청와대, 국방부, 조선닷컴, 옥션 등이 원할게 접속되지 않는다. 네이버 블로그도 일부 개인 페이지들이 제대로 보이지 않는 경우가 있다. 그 원인은 악성코드 때문이었다. 쿨캣님의 블로그( http://xcoolcat7.tistory.com/520 )에서 악성코드가 공격을 하는 대상 사이트의 목록을 볼 수 있다. 악성코드의 공격대상 목록과 실제 공격당한 사이트가 일치한다.

msiexec1.exe 등을 포함한 Win-Trojan/Downloader.374651 악성코드는 안철수연구소 바이러스 정보에서 정보를 얻을 수 있다. 그러나 공격대상 사이트 목록이 있는 msiexec2.exe에 대한 분석자료는 안랩 사이트 등 다른 곳에는 아직 공개되어 있지 않은 상태이다.
KRCERT에 '신종 분산서비스거부공격(DDoS)에 따른 "주의" 경보발령' 공지가 올라와 있다. '신종 DDoS 악성코드로 인하여 국내 주요 공공기관 및 이용자 방문이 많은 포털, 금융 사이트에 대한 접속 장애 발생'했다는 내용이다.
이 악성코드가 부팅 후 자동 실행이 된다. 그리고, 제어 서버(C&C) 접속 없이 공격 대상 목록 파일정보를 기반으로 자동 공격한다. 만약 악성코드내에 공격을 중단하는 명령이 없다고 한다면, 대상사이트는 공격을 계속 받을 수 밖에 없다. C&C(Command & Control) 접속없이 이뤄지므로, 공격을 멈출 방법이 없기 때문이다. PC만 켜져있는 동안은 계속 공격이 이뤄진다는 얘기.
개인 PC에 악성코드가 심어져 있는지 검사가 필요하다.
* 관련정보 (18:15 추가)
- 안철수연구소, DDoS 공격용 악성코드 전용백신 무료 제공 (그리고, 이번에 공격한 악성코드명)
- Urgent-Massive DDOS Attack!
- 하우리의 분석자료 (Trojan.Win32.DDoS-Agent.33841) (공격대상 목록 포함)
- 네이버, 옥션, 청와대 공격 악성코드 분석 (글 쿨캣님, 16:36)
[ 출처 : 쿨캣님 블로그 ]
msiexec1.exe 등을 포함한 Win-Trojan/Downloader.374651 악성코드는 안철수연구소 바이러스 정보에서 정보를 얻을 수 있다. 그러나 공격대상 사이트 목록이 있는 msiexec2.exe에 대한 분석자료는 안랩 사이트 등 다른 곳에는 아직 공개되어 있지 않은 상태이다.
KRCERT에 '신종 분산서비스거부공격(DDoS)에 따른 "주의" 경보발령' 공지가 올라와 있다. '신종 DDoS 악성코드로 인하여 국내 주요 공공기관 및 이용자 방문이 많은 포털, 금융 사이트에 대한 접속 장애 발생'했다는 내용이다.
이 악성코드가 부팅 후 자동 실행이 된다. 그리고, 제어 서버(C&C) 접속 없이 공격 대상 목록 파일정보를 기반으로 자동 공격한다. 만약 악성코드내에 공격을 중단하는 명령이 없다고 한다면, 대상사이트는 공격을 계속 받을 수 밖에 없다. C&C(Command & Control) 접속없이 이뤄지므로, 공격을 멈출 방법이 없기 때문이다. PC만 켜져있는 동안은 계속 공격이 이뤄진다는 얘기.
개인 PC에 악성코드가 심어져 있는지 검사가 필요하다.
* 관련정보 (18:15 추가)
- 안철수연구소, DDoS 공격용 악성코드 전용백신 무료 제공 (그리고, 이번에 공격한 악성코드명)
- Urgent-Massive DDOS Attack!
- 하우리의 분석자료 (Trojan.Win32.DDoS-Agent.33841) (공격대상 목록 포함)
- 네이버, 옥션, 청와대 공격 악성코드 분석 (글 쿨캣님, 16:36)
- 악성코드 초기 버전(7.5일)이 만든 uregvs.nls 파일에는 한국 사이트는 없었고, 미국 정부 사이트만 있었다고.
- 한국 사이트는 7월 7일에 포함
'IT이야기' 카테고리의 다른 글
미출시된 초콜릿폰 II에서 웹페이지 접속한 흔적이? 테스트중? (4) | 2009.07.13 |
---|---|
한메일, 보안업체 등으로 DDos 2차공격. PC 점검 필수 (4) | 2009.07.09 |
네이버, 옥션 등 DDoS공격은 악성코드 때문 (5) | 2009.07.08 |
함께 만들어가는 IT 일정, 뭉치면 한눈에 보인다. (10) | 2009.06.29 |
기다렸다. 안철수박사님 출연한 무릎팍도사 6.17일 방송 (9) | 2009.06.16 |
해외 주요 업체의 서버 대수는? (4) | 2009.06.01 |
댓글을 달아 주세요
네이버에 장애 공지가 새로 올라왔습니다.
2009.07.08 12:45 신고 [ ADDR : EDIT/ DEL : REPLY ]* 네이버 메일/쪽지 서비스 장애에 대한 안내. 마지막 수정 시간: 2009-07-08 11:22:51
http://nboard.naver.com/nboard/read.php?board_id=nvnews&nid=439
----------------------------------------------------------------------
네이버 메일/쪽지 서비스 장애에 대한 안내 말씀드립니다.
안녕하세요. 네이버입니다.
어제 자정을 기준으로 해결되었던 메일/쪽지 서비스 접속 장애가
금일(7월 8일) 오전 10시 50분부터 다시 발생하고 있습니다.
----------------------------------------------------------------------
그리고, 오전에 KISA 기업정보보호팀에서 '[KISA]신종 DDoS 공격에 따른 피해 현황 파악'에 대한 메일을 일부 업체에 보냈습니다.
----------------------------------------------------------------------
7일 오후 6시부터 신종 DDoS 악성코드로 인하여 국내 주요 사이트에 대해 접속 장애가 발생 되었습니다.
이에 안전진단 대상업체의 피해 현황을 조사하고자 하오니 많은 협조 부탁 드립니다.
----------------------------------------------------------------------
일반인들을 대상으로 하는 매체에서 좀더 신중하게 단어를 선택했으면 좋겠어요.
2009.07.08 13:46 신고 [ ADDR : EDIT/ DEL : REPLY ]해킹과 공격은 엄연히 다른 의민데 말이죠.
여튼... 저도 혹시 몰라서 검사하고 있어요.ㅎㅎ
그러게요. 좀 더 정확히 표현해주면 좋은데 말이죠.
2009.07.08 18:14 신고 [ ADDR : EDIT/ DEL ]이제. 악성코드 심어진 PC들이 빨리 치료가 되어야 하는데, 아직도 감염되었는지도 모르는 유저들이 많을 듯...
트랙백 걸어 주셔서 보고 갑니다. ~~ 옆팀은 오늘도 날을 새시는듯 하네요
2009.07.08 18:55 신고 [ ADDR : EDIT/ DEL : REPLY ]예. 아시는 분도 오늘 한말씀도 안하시더라구요. 너무 바쁜 듯.
2009.07.08 19:06 신고 [ ADDR : EDIT/ DEL ]