본문 바로가기

벌새::Security

2010년 7월 7일 부활한 7.7 DDoS 좀비PC와 개인 사용자의 대응책

반응형
2009년 7월 7일 오후 6시부터 발생한 정체를 알 수 없는 DDoS 공격으로 인하여 정부 기관을 비롯한 국내 인터넷 사이트가 7월 10일까지 공격을 받는 대형 사건이 있었습니다.
 

그로부터 1년동안 정부와 민간에서는 DDoS 공격에 대비한 방어 장비 확충 및 점검을 통해 어느 정도 보안에 대한 관심을 가지게 된 계기가 되지 않았나 생각됩니다.

그런데 2010년 7월 7일 저녁부터 또 다시 정부 기관을 비롯한 당시 1차 공격을 받은 사이트를 중심으로 DDoS 공격이 다시 발생하였고, 하우리(Hauri) 보안 업체에서는 공식적으로 다음과 같은 안내를 하고 있습니다.

출처 : 하우리(Hauri)

이번에 공격에 사용된 좀비PC는 작년 7.7 DDoS 공격시 감염된 컴퓨터에 존재하는 악성 파일이 지금까지 제거가 되지 않고 남아있는 과정에서 자동으로 7월 7일에 맞추어 공격이 이루어진 것으로 알려지고 있습니다.

이에 사용자는 유명 보안 제품을 이용하여 자신의 시스템에 존재할 수 있는 DDoS 공격 파일 여부를 확인하여 반드시 제거를 하셔야 합니다.

 

개인적으로 이번의 사고는 보안 업체 또는 정부에서 당시 공격에 사용된 악성 파일이 다시 사용될 수 있다는 분석을 제대로 하지 않았다는 점에 문제가 있어 보이며, 사용자 입장에서는 국내외 유명 보안 제품에서 진단되는 해당 파일들은 제대로 치료하지 않았다는 점에서 앞으로도 유사한 문제가 계속 제기될 수 있으리라 보여집니다.

당시 알려진 전파 경로가 국내 웹하드 업체 프로그램이 설치된 경우 감염으로 연결이 되었던만큼 많은 PC가 감염 대상이었을 것으로 보이므로 반드시 국내 유명 보안 제품(안철수연구소, 하우리, nProtect, 알약)을 이용하여 시스템 정밀 검사를 해보시기 바랍니다.

 Update : nProtect 긴급 경보

출처 : nProtect

nProtect 보안 제품에서도 이번 DDoS 관련 악성코드에 대하여 전용 백신(MD5 : dda3a3922f043d5464950733d2761f29)을 배포하고 있으며, 현재 제품에서 진단 및 치료를 지원하고 있으므로 해당 제품을 사용하시는 분들은 추가적인 시스템 정밀 검사를 하시기 바랍니다.

[nProtect 7.7 DDoS 관련 진단명]

Trojan/W32.Agent.67072
Trojan/W32.Agent.65536
Trojan/W32.Agent.88064
Trojan/W32.Agent.374651
Trojan/W32.Agent.24576
Trojan/W32.Agent.33841
Trojan/W32.Agent.32768
Trojan/W32.Agent.90112


 Update : 안철수연구소(AhnLab) 긴급 경보 - DDoS 공격 주의보

출처 : 안철수연구소(AhnLab)

안철수연구소(AhnLab)에서도 긴급 경보를 통해 DDoS 공격을 통한 국내 정부, 금융권, 포털 사이트에 대한 서비스 거부 공격이 있었음을 알리고 있으며, 전용백신(MD5 : ECC3008416A037DDEA8E1E210ED924FA) 배포 및 V3 보안 제품의 엔진 업데이트를 제공하고 있습니다.

역시 분석 정보를 작년에 공개한 내용이며, 이는 기존에 존재하던 치료되지 않은 좀비PC의 재활동임을 알 수 있습니다.

V3 보안 제품을 사용하시는 분들은 반드시 시스템 정밀 검사를 통해 진단되는 악성 파일에 대한 치료를 하시기 바라며, 만약 컴퓨터에 문제가 발견되시는 분들은 해당 제품의 보안 업체 또는 보호나라 e콜센터(전화 118번)를 통해 문제를 해결하시기 바랍니다.

 Update : 알약(AlYac) 보안 공지

출처 : 알약(AlYac) - DDoS 대상 주요 사이트 모니터링 화면

[알약(AlYac) 7.7 DDoS 관련 진단명]

V.TRJ.DDoS.Agent.33841
V.TRJ.DDoS.Agent.67072
V.TRJ.DDoS.Agent.nls
V.TRJ.DDoS.Agent.90112
V.TRJ.Ransom.MotID
V.DRP.Agent.MotID

 

이스트소프트(EstSoft) 무료 백신 알약(AlYac)에서는 전용 백신(MD5 : 77469EFE8E30D314A9A7BC24925D4F5B)을 제공하고 있으므로 알약 제품을 이용하시는 분들은 반드시 시스템 정밀 검사를 하여 진단되는 악성 파일을 치료하시기 바랍니다.

728x90
반응형