본문 바로가기
  • 개 내 (Gaenea)
컴퓨터.스마트폰 상식 기타

신종 악성코드 [DDos:디도스] 예방법 [필독]

by joolychoi 2009. 7. 13.

 


신종 악성코드 [DDos:디도스] 예방법 [필독]

 

사이버 공격 대비 추가/컴퓨터의 안전을 위하여
앞서보낸 사이버 공격 대비 추가로 보냅니다.
신종 악성코드 [DDos:디도스]를 주의하시기 바랍니다.
 ▶  날짜를 7월 7일 이전으로 
    변경하여 당분간 사용합시다

 ▶변경방법 
 모니터 화면 하단 오른 쪽에 있는 사간표시(예 : 8:20)
 위에서 오른 쪽 누르면 -창에서
 날짜 시간조정(A)에서  -날짜에서 
 2009.  7월 등으로 설정하시고 -확인을 클릭
좀비PC들 ‘자폭’ 활동 시작…안전모드, 날짜 변경 필수 좀비PC들 ‘자폭’ 활동 시작…안전모드, 날짜 변경 필수

헤럴드경제 | 입력 2009.07.10 07:03 
앞서 방송통신위원회는 9일 밤 "일부 좀비PC가 악성코드에 의해 치명적 손상을 입을 수 있다는 사실이 밝혀졌다"고 발표했다. 안철수연구소 측도 "국가정보원과 함께 테스트한 결과 하드디스크가 파괴되는 현상이 나타났다"고 말했다. KISA 측이 접수한 신고내용에 따르면 PC 사용 중 자정이 넘자 인터넷이 마비되고 마우스?키보드가 작동하지 않는 등 먹통이 된 경우도 있었다.

접수된 사례를 보면 이 밖에
EXTENSIBLE_BANNER_PACK({secid:Media_AD250ID[0],dir:'RB'});

분산서비스거부(DDoS) 공격 악성코드에 감염된 '좀비PC'가 10일 0시부터 자체 하드디스크를 포맷, PC에 저장된 모든 저장정보를 자동 삭제하는 '자폭' 활동을 시작했다. 이번 사건의 목적이 '사이버 테러'란 점이 좀더 명확히 확인된 셈이다. 이런 가운데 실제 PC가 파괴됐다는 신고가 속속 접수되고 있다. 현재 감염된 좀비PC의 수가 적게는 3만여 대, 많게는 6만 대로 추정되는 만큼 큰 피해가 발생할 수도 있을 것으로 우려되고 있다.

앞서 방송통신위원회는 9일 밤 "일부 좀비PC가 악성코드에 의해 치명적 손상을 입을 수 있다는 사실이 밝혀졌다"고 발표했다. 안철수연구소 측도 "국가정보원과 함께 테스트한 결과 하드디스크가 파괴되는 현상이 나타났다"고 말했다. KISA 측이 접수한 신고내용에 따르면 PC 사용 중 자정이 넘자 인터넷이 마비되고 마우스?키보드가 작동하지 않는 등 먹통이 된 경우도 있었다.

접수된 사례를 보면 이 밖에도 문서 파일 등을 자동으 로 암호를 걸어 압축하는 등의 방식으로 PC를 파괴하고 있는 것으로 나타났다. KISA 관계자는 "피해자들이 PC를 사용하는 도중 갑자기 PC가 제대로 작동하지 않아 PC를 끄고 재부팅 했으나 가동되지 않았다는 내용의 신고가 많았다"고 전했다.

▶10일 출근해 컴퓨터 켜는 시간부터 대란 올 수도=통상 심야 시간대에는 PC에 이상이 생기더라도 KISA에 신고하는 이용자들이 많 지 않았다는 점을 고려할 때 본격적으로 업무가 시작되는 이날 오전 시간에 사무실 등에서 감염된 PC가 켜질 경우 피해 사례가 속출할 것으로 우려된다. 즉 DDoS 공격에 악용됐던 수많은 좀비PC들의 하드디스크가 통째로 날라가는 대 형 사고가 촉발될 가능성이 매우 높은 상황이다.

이에 따라 10일 오전 업무를 재개하기 앞서 악성코드에 감염됐거나 감염우려가 예상되는 PC 사용자들은 PC를 켤 때 PC의 전원 스위치를 누른 직후 F8키를 눌러 PC를 안전모드로 부팅해 날짜를 이날 이전으로 변경하고, PC를 재부팅한 뒤 최신 백신 으로 점검하고 사용해야 피해를 면할 수 있다.

아울러 기술적인 지원이 필요한 인터넷 사용자는 KISA 인터넷침해사고대응지원 센터 전문상담 직원의 도움(118)을 받을 수 있다. 최신 백신프로그램은 KISA가 운영하는 보호나라 홈페이지(www.boho.or.kr) 등에 접속해 다운을 받거나 업데이트해야 하고 이와는 별도로 바이러스 검사를 실시하는 것이 바람직하다.

▶디도스 3차 공격은 피해 미미=9일 저녁 국민은행 등 국내 주요 7개 웹사이트에 대한 3차 디도스 공격이 가해졌으나 이로 인한 사이트 장애는 그리 크지 않았던 것으로 나타났다. KISA 측은 "9일 오후 6시쯤 3차 공격이 시작돼 공격 초기 국민은행과 조선닷컴에 대한 접속이 다소 불안정했지만 다른 사이트 접속엔 큰 문제가 없었다"고 밝혔다. 3차 공격 대상 사이트는 행정안전부 전자정부 사이트와 조선닷컴, 국민은행, 네이버 메일, 다음 메일, 파란 메일, 옥션 등이다.

방송사인 KBS의 사이트(www.kbs.co.kr)에서도 오후 한때 접속 오류와 장애가 빚어졌다. 오후 6시30분부터 KBS 사이트에 접속하면 포털 네이버(www.naver.com)의 초기 화면이 뜨는 소동이 벌어진 것으로 전해졌다. KISA 측은 "KBS 사이트 접속 장애가 일부 지역에서 나타났지만 디도스 공격과는 무관한 걸로 추정된다"고 밝혔다.
조용직 기자/yjc@heraldm.com

- `헤럴드 생생뉴스` Copyrights ⓒ 헤럴드경제 & heraldbiz.com, 무단 전재 및 재배포 금지 -

시작==>제어판==>관리자 도구==> 서비스

 

서비스 해당항목중

WMI Performance Configuration 항목이 있으면 90% 감염된것임...

 

시작으로 되어 있으면 중지 시킴

또는 파일검색시

wmiconf.dll
파일이 존재하면 100%감염....

 

[수동치료]
1. Windows 작업관리자를 이용하여 Trojan.DownLoader.Based의 동작을 중지시킨다.

(시작 메뉴바의 빈공간에서 마우스 오른쪽 버튼 클릭==> 작업관리자 클릭)
: 프로세스 항목의 Image Path 경로에 다음과 같은 이름을 가지는 프로세스의 동작을 중지시킨다.
- Svchost.exe -k wmiconf

B. 레지스트리 변경
1. Trojan.DownLoader.Based가 생성한 레지스트리 값을 삭제하기 위하여 레지스트리 에디트를 실행시킨다.
- "시작" -> "실행"버튼 클릭 후 "regedit"입력 후 확인버튼 클릭

2. 다음과 같은 레지스트리 값을 삭제한다.
[HKLM\SYSTEM\ControlSet001\Services\WmiConfig]
ImagePath = "%system%svchost.exe -k wmiconf

3. 다음 경로의 파일들을 삭제한다.
- %system%wmiconf.dll
- %system%wmcfg.exe

 

%system%은 일반적으로 c:\windows 또는 c:\windows\system32 또는c:\

해당폴더 안에 위의 두개 파일이 존재하면 100%감염...

 

파일검색후 삭제...(시작버튼==> 파일및 폴더검색 클릭)

신종 악성코드 [DDos:디도스] 예방법 [필독]

 

신종 악성코드 [DDos:디도스]를 주의하시기 바랍니다.


국내 주요 인터넷사이트를 마비시킨 이번 '분산서비스거부(DDoS)' 공격은 악성 코드(바이러스)에 감염된 일반인의 PC를 통해 이루어집니다. 보통 악성코드는 이메일이나 특정 사이트에 접속했다가 자신도 모르게 감염되고, 이 악성코드는 PC에 숨어 있다가 지정한 시간에 특정 인터넷 사이트에 계속 접속을 시도하면서 국내 주요 인터넷사이트를 공격을 하게 됩니다.
기존 악성봇 공격과는 다르게 악성코드 감염만으로 자동 공격을 하므로 감염자가 늘어날수록 피해가 더욱 심각해질 것으로 예상됩니다.

이러한 악성코드 감염으로 인한 피해를 막기 위하여 조선닷컴 사용자 여러분께서도 개인pc의 악성코드를 진단/치료하시길 바라며, 조선닷컴 또한 서비스 정상화를 위해 긴급복구 작업을 진행 중에 있으며, 최대한 빠른 시간 내에 정상적인 서비스를 제공할 수 있도록 하겠습니다.



※ 'DDos' 악성코드 무료백신 다운받기
와우 해커
http://wowhacker.com/VGuard_DDoS.exe

안철수연구소
http://kr.ahnlab.com/downLoadFreeVaccine.ahn?filename=v3filecleanex.exe

카스퍼스키
http://www.kaspersky.co.kr/board/bbs/board.php?bo_table=News&wr_id=272

피씨그린(네이버)
http://security.naver.com/info/emergency.nhn

이스트소프트
http://alyac.altools.co.kr/etc/Notice_Contents.aspx?idx=136



'DDos' 악성코드 예방법
http://www.boho.or.kr/hacking/hack_05.jsp?page_id=5

민원접수 및 상담전화
http://www.boho.or.kr/util/util_02.jsp?page_id=2

 

※예방법

1) 안전모드로 컴퓨터를 시작합니다.

2) 날짜를 7월 7일 이전으로 변경하여 당분간 사용합시다.

3) 백신으로 점검을 합시다.

4) 재부팅하여 사용합니다.

좀비PC피해 속출...긴급대처방법  

하드손상 피해 33건, 안철수연구소 전용백신 배포

DDoS 공격에 악용된 좀비 PC의 하드디스크가 10일 0시를 기해 손상됐다는 신고가
 한국정보보호진흥원으로 속속 접수되고 있다.
오전 9시 현재 30여건이다. 인터넷 대란 우려가 현실로 다가오고 있다.

앞서 방송통신위원회와 한국정보보호진흥원(KISA)은
10일 0시부터 감염된 좀비PC들이 스스로 하드 디스크를 삭제할 가능성이 있다고 발표했다.

방송통신위원회에 따르면 10일 현재 총 33건의 하드디스크 손상 피해가 접수됐다.
정보보호진흥원은 9일까지 악성코드를
유포하는 것으로 추정되는 숙주사이트 5곳
(독일, 오스트리아, 미국, 그루지야, 한국)에 대해 차단을 요청, 해당 ISP에서 차단했다.

안철수연구소에 따르면 하드디스크를 파괴하는
악성코드(Win-Trojan/Destroyer.37264)는 2차 공격 시점인 8일에 추가 발견됐다.
1차 감염된 PC가 특정 사이트에서 다운로드한 것으로 분석된다.
하지만 정해진 시간에 특정 사이트를 공격하던 좀비PC
상당수의 하드가 손상됨으로써 추가 DDoS 공격의 가능성은 낮은 것으로 분석됐다.

하드 파괴 증상이 일어나는 환경은 윈도 비스타,
닷넷 프레임워크(.NET Framework)가
설치된 윈도 2000/XP/2003으로 msvcr90.dll 파일이 존재하는 경우다.
msvcr90.dll 파일이 존재하는지는 '탐색기'를 열어 '검색' 기능을 이용해 확인할 수 있다.

하드가 손상되는 원인은 A~Z 드라이브의
물리적인 첫 시작 위치에 'Memory of the Independence Day'라는
 문자열을 덮어쓰기를 해 MBR(Master Boot Recorder)과 파티션 정보를 손상시키기 때문이다.

안철수연구소는 악성코드 감염이 의심되는 경우
▲PC를 켜자마자 F8번 키를 계속 눌러 '안전모드' 부팅
▲PC의 날짜를 7월10일 이전으로 설정 후 재부팅
▲V3 최신 엔진이나 전용백신으로 진단·치료 등의 과정을 거치면 된다고 설명했다.

9일 밤 사이 하드의 손상을 막아주는 전용백신을
 개발해 개인과 기업·기관에 무료 제공 중이다.
포털 자료실, 심파일 공개자료실, 안철수연구소 웹사이트에서 내려받을 수 있다.
 V3 라이트, V3 365 클리닉, V3 인터넷 시큐리티 2007/7.0/8.0 등 V3 제품군
사용자는 사용 중인 제품의 최신 버전으로 진단·치료할 수 있다.

방통위 관계자는 "이번 침해사고의 원인은
매우 지능적이고 고도화된 공격패턴을 지닌 악성코드와
 더불어 24시간 운영되면서도 상대적으로
보안에 취약한 PC방 등의 PC가 원인일 수 있다"며
 "보다 철저한 보안 관리가 요구된다"고 주문했다.

조시행 안철수연구소 상무는
 "이번 사태는 PC 사용자가 V3 등의 백신으로 미리 치료만 했어도
 대규모 피해는 막을 수 있었다.
이를 계기로 개인 및 기업 PC의 보안 관리 수준이 높아지기를 바란다"라고 전했다.
 

자료제공;;시와음;;http://cafe.daum.net/ounnet

◇주요 백신업체 홈페이지
 
 ▲안철수연구소전용백신(http://home.ahnlab.com)
▲하우리 전용백신(http://www.hauri.co.krl)
▲알약 전용백신(http://alyac.altools.co.kr)
▲네이버 PC그린 전용백신(http://security.naver.com)
▲잉카인터넷 전용백신(http://www.inca.co.kr)
 
출처:운봉 컴사랑
http://cafe.daum.net/unbon