IT이야기2009. 7. 8. 10:24
어제 네이버 메일과 쪽지기능, 옥션(auction.co.kr), 조선닷컴(chosun.com), 청와대(www.president.go.kr), 국방부(www.mnd.go.kr), 은행사이트, 그리고 백악관 등 다수 사이트가 DDoS공격을 받았다. 지금도 청와대, 국방부, 조선닷컴, 옥션 등이 원할게 접속되지 않는다. 네이버 블로그도 일부 개인 페이지들이 제대로 보이지 않는 경우가 있다. 그 원인은 악성코드 때문이었다. 쿨캣님의 블로그( http://xcoolcat7.tistory.com/520 )에서 악성코드가 공격을 하는 대상 사이트의 목록을 볼 수 있다. 악성코드의 공격대상 목록과 실제 공격당한 사이트가 일치한다.

악성코드 msiexec2.exe의 공격 대상 사이트 목록

[ 출처 : 쿨캣님 블로그 ]


msiexec1.exe 등을 포함한 Win-Trojan/Downloader.374651 악성코드는 안철수연구소 바이러스 정보에서 정보를 얻을 수 있다. 그러나 공격대상 사이트 목록이 있는 msiexec2.exe에 대한 분석자료는 안랩 사이트 등 다른 곳에는 아직 공개되어 있지 않은 상태이다.

KRCERT에 '신종 분산서비스거부공격(DDoS)에 따른 "주의" 경보발령'  공지가 올라와 있다. '신종 DDoS 악성코드로 인하여 국내 주요 공공기관 및 이용자 방문이 많은 포털, 금융 사이트에 대한 접속 장애 발생'했다는 내용이다.

이 악성코드가 부팅 후 자동 실행이 된다. 그리고, 제어 서버(C&C) 접속 없이 공격 대상 목록 파일정보를 기반으로 자동 공격한다.  만약 악성코드내에 공격을 중단하는 명령이 없다고 한다면, 대상사이트는 공격을 계속 받을 수 밖에 없다. C&C(Command & Control) 접속없이 이뤄지므로, 공격을 멈출 방법이 없기 때문이다. PC만 켜져있는 동안은 계속 공격이 이뤄진다는 얘기.

개인 PC에 악성코드가 심어져 있는지 검사가 필요하다.


* 관련정보 (18:15 추가)
  - 안철수연구소, DDoS 공격용 악성코드 전용백신 무료 제공 (그리고, 이번에 공격한 악성코드명)
  - Urgent-Massive DDOS Attack!
  - 하우리의 분석자료 (Trojan.Win32.DDoS-Agent.33841) (공격대상 목록 포함)
  - 네이버, 옥션, 청와대 공격 악성코드 분석 (글 쿨캣님, 16:36)
  • 악성코드 초기 버전(7.5일)이 만든 uregvs.nls 파일에는 한국 사이트는 없었고, 미국 정부 사이트만 있었다고.
  • 한국 사이트는 7월 7일에 포함

Posted by 좋은진호
IT이야기2007. 8. 1. 18:36
* 분석 기간 : 2007.6.03(일) 04:00 ~ 7.01(일) 04:00 (4주, 28일간)
* 분석 방법 : - 메일로그를 활용
              - ClamAV 안티바이러스툴을 이용하여 메일이 필터링된 기준
               (따라서 필터링안된 웜메일은 분석자료에 포함하지 않음)
* 웜메일 건수 : 35,512건 (1일 평균 1,268건)

지난달과는 달이 이번달은 4주간의 웜·바이러스 메일 건수를 분석했다. 1일 평균 1,268건은 5월의 1일 평균 3,293건과 4월의 1,548건, 3월의 1,785건 등에 비해서 상당히 건수가 감소한 것으로 5월과 비교하면 무려 62%나 감소한 것이다. 주 원인은 지난달에 비정상적(?)으로 늘어난 Bagz웜(지난달에 77.13% 차지)이 여전히 1위이기는 하지만 비율이 42.43%로 감소했기 때문이다. 뒤를 이어 Bagle웜이 37.93%, SomeFool웜이 6.30%, Mytob웜이 4.36% 순이다. 그 외의 특징은 Email.Phishing과 HTML.Phishing이 증가했다는 것.

자세한 것은 웜메일 건수와 주요 웜별 건수 분석 (2007년 6월) 을 살펴보기 바란다.

사용자 삽입 이미지

사용자 삽입 이미지

Posted by 좋은진호
IT이야기2007. 6. 16. 02:46
* 분석 기간 : 2007.5.18(금) 04:00 ~ 5.28(월) 04:00 (10일간)
* 분석 방법 : - 메일로그를 활용
              - ClamAV 안티바이러스툴을 이용하여 메일이 필터링된 기준
               (따라서 필터링안된 웜메일은 분석자료에 포함하지 않음)
* 웜메일 건수 : 32,395건 (1일 평균 3,239건)

이번달은 로그를 따로 보관하지 않아 메일로그 기간이 지난달보다 며칠 늦었다. 앞으로는 해당월의 2주간 또는 4주간을 분석하고, 더 나아가 해당월 전체 메일을 통해 분석 결과를 담워볼 생각이다.
5월의 웜·바이러스 메일 건수는 지난달의 15,477건에 비해 무려 109%가 증가했다. 이런 증가의 원인은 24,987건으로 77.13% 차지한 Bagz웜이다. 그 뒤에 14.21%의 Bagle웜이고, 이 둘이 90%이상 독식하고 있다. 이 숫자는 한국의 검색시장의 비율을 보는 것 같다. (참고 : http://pds4.egloos.com/pds/200706/11/30/a0000030_02065174.jpg ). 그 뒤로 SomeFool, Mytob 등으로 순위는 지난달과 같다.

자세한 것은 웜메일 건수와 주요 웜별 건수 분석 (2007년 5월) 을 살펴보기 바란다.

사용자 삽입 이미지

사용자 삽입 이미지

Posted by 좋은진호
시스템이야기2007. 4. 24. 22:49
* 분석 기간 : 2007.4.14(토) 04:00 ~ 4.24(화) 04:00 (10일간)
* 분석 방법 : - 메일로그를 활용
              - ClamAV 안티바이러스툴을 이용하여 메일이 필터링된 기준
               (따라서 필터링안된 웜메일은 분석자료에 포함하지 않음)
* 웜메일 건수 : 15,477건 (1일 평균 1,548건)

올해들어 4번째 분석결과이다. 연말까지 꾸준히 분석할 수 있기를 바라며 또 한번 분석해보자.
4월의 웜·바이러스 메일 건수는 지난달의 17,854건에 비해 약 14%가 감소했다.
웜별로는 Bagz웜, Bagle웜의 강세는 여전하다. Bagz웜은 지난달 23.95%에서 4월에 무려 49.82%로 사과의 반토막을 혼자 잘라 먹어버렸다. Bagle웜은 지난달 34.83%에서 34.89%로 비슷한 수준으로 여전히 강자의 자리를 차지하고 있다. 그 뒤로 SomeFool웜이 6.46%, Mytob웜이 3.53%를 차지한다.

자세한 것은 웜메일 건수와 주요 웜별 건수 분석 (2007년 4월) 을 살펴보기 바란다.

사용자 삽입 이미지

사용자 삽입 이미지

Posted by 좋은진호
시스템이야기2007. 3. 26. 12:21
지난 2월 분석결과에 이어 3월의 10일간 로그를 분석했다.
 
* 분석 기간 : 2007.3.14(수) 04:00 ~ 3.24(토) 04:00 (10일간)
* 분석 방법 : - 메일로그를 활용
              - ClamAV 안티바이러스툴을 이용하여 메일이 필터링된 기준
               (따라서 필터링안된 웜메일은 분석자료에 포함하지 않음)
* 웜메일 건수 : 17,854건 (1일 평균 1,785건)
 
2월에는 Bagle웜이 40.28%, Bagz웜이 35.01%, SomeFool웜이 7.08%로 Bagz웜의 활약(?)이 돋보였으며, 이번달에는 Bagle웜이 34.83%, Bagz웜이 23.95%로 여전히 꾸준한 모습이고 Virut.A가 21.51%로 눈에 띄는 증가를 보였다. 시간대별로는 오후 4시 이후부터 매시간 5%이상의 비율을 차지했으며, 특히 11시대에는 무려 8.17%나 됐다. 연속 3달간의 통계를 살펴보니 흥미롭게도 1월 10일간 건 18,719건, 2월 10일간 18,396건, 그리고 이번달에 17,854건 등 건수 변화가 많지 않고 꾸준히 웜·바이러스 메일을 들어오고 있음을 확인할 수 있다. 영화 '누가 그녀와 잤을까'에서 '6.25가 왜 일어났는지 아세요? 방심해서요.'라는 대화가 생각난다. 웜·바이러스가 꾸준히 활동하고 있으니 늘 조심하라.
 
자세한 것은 웜메일 건수와 주요 웜별 건수 분석 (2007년 3월) 을 살펴보기 바란다.

사용자 삽입 이미지

사용자 삽입 이미지

Posted by 좋은진호
시스템이야기2007. 3. 2. 16:06
1년전부터 메일로그를 통해 웜·바이러스메일(이하 웜메일로 표기)의 건수와 비율을 분석해왔다.
본인의 서버는 어떤 비율의 웜메일이 들어오는지 궁금한가? 우선 메일서버에 ClamAV를 설치하고, maillog를 남겨라. 그 maillog를 분석하면 된다. 분석하기가 어렵다? 저에게 얘기하면 간단한 쉘 스크립트를 제공하겠다. 단, 반드시 분석결과를 공개해야 한다. ^^*

* 분석 기간 : 2007.2.16(금) 04:00 ~ 2.26(월) 04:00 (10일간), 설연휴 포함
* 분석 방법 : - 메일로그를 활용
              - ClamAV 안티바이러스툴을 이용하여 메일이 필터링된 기준
               (따라서 필터링안된 웜메일은 분석자료에 포함하지 않음)
* 웜메일 건수 : 18,396건 (1일 평균 1,839건)

1월에는 Bagle웜이 50.27%, W32.Virut.A가 12.10%, Bagz웜이 11.32%를 차지했다. 이번에는 Bagle웜이 40.28%, Bagz웜이 35.01%, SomeFool웜이 7.08%로 Bagz웜의 활약(?)이 돋보인다.
KRCERT( http://www.krcert.or.kr/ ) 에서 발표한 '2007년 01월 해킹 바이러스 통계 및 분석 월보'의 '주요 웜·바이러스별 신고현황'에서도 1위가 Bagle, 2위가 Bagz이었다.
시간대별로는 1월에는 출근시간 이후인 오전 8~10시 사이의 비율이 높았으나, 이번에는 출근시간 이후에 밤시간대까지 4% 이상의 비슷한 비율을 유지했고, 20시대에만 7.84%의 높은 비율을 보였다.

자세한 것은 웜메일 건수와 주요 웜별 건수 분석 (2007년 2월) 을 살펴보기 바란다.
사용자 삽입 이미지

사용자 삽입 이미지

Posted by 좋은진호
시스템이야기2007. 2. 22. 23:04

* 분석 기간 : 2007.1.14(일) 04:00 ~ 1.24(수) 04:00 (10일간)
* 분석 방법 : - 메일로그를 활용
              - ClamAV 안티바이러스툴을 이용하여 메일이 필터링된 기준 (따라서 필터링안된 웜메일은 분석자료에 포함하지 않음)
* 웜메일 건수 : 18,719건 (1일 평균 1,872건)


작년 1월, 2월에는 SomeFool(Netsky웜)과 Mytob 웜이 50%이상, Exploit.HTML.IFrame 이 약 20%를 차지했으나, 이번 기간동안 웜별로는 Bagle웜이 50.27%, W32.Virut.A가 12.10%, Bagz웜이 11.32%를 차지했다. 시간대별로는 이전과 같이 출근시간 이후인 오전 8~10시 사이에 26.61%로 높은 비율을 차지했다.

자세한 것은 웜메일 건수와 주요 웜별 건수 분석 (2007년 1월) 을 살펴보기 바란다.
사용자 삽입 이미지

사용자 삽입 이미지

Posted by 좋은진호
시스템이야기2007. 1. 20. 03:43
무료 Antivirus툴인 ClamAV( http://clamav.net/ )은 sendmail + ClamAV 조합으로 수신되는 메일의 바이러스를 검사할 수도 있고, 윈도에서는 ClamAV 바이러스 엔진을 사용한 ClamWin( http://www.clamwin.com/ )으로 바이러스 검사를 할 수 있다. 바로 이 clamav의 php용 라이브러리인 php-clamavlib으로 php에서 바이러스를 검사하는 방법을 'How To Automatically Scan Uploaded Files For Viruses With php-clamavlib'에서 소개하고 있다.

http://www.howtoforge.com/scan_viruses_with_php_clamavlib

사용은 간단하다.

1. php-clamavlib php extension을 설치하고
2. php.ini 을 설정
3. cl_setlimits() 함수로 검사 조건 설정한 후
4. 업로드 파일을 cl_scanfile(파일경로) 함수로 검사한 후 return 결과에 처리하면 된다.
5. 그리고, cl_info()과 clam_get_version() 함수로 clamAV 정보를 얻을 수 있다.

중요한 것은 freshclam으로 Virus DB를 업그레이드해줘야 최신 바이러스까지 검사가 가능하다.

이미지 출처 : 위에 소개한 URL에서
사용자 삽입 이미지


Posted by 좋은진호