Home > Àüü±â»ç

¾²·¹±â µ¥ÀÌÅÍ Ã¤¿ö ¹é½Å ŽÁö¸¦ ¿ìȸÇÑ´Ù°í?

ÀÔ·Â : 2012-12-10 18:33
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

¾Ç¼ºÄÚµå °¨¿°µÇ¸é °ø°ÝÀÚÀÇ ¸í·É¿¡ µû¶ó ¾ÇÀÇÀû ±â´É ¼öÇà


[º¸¾È´º½º ±èÅÂÇü]  2012³â 12¿ù 4ÀÏ ±¹³» ±â¾÷ °í°´À» ÅëÇØ È®ÀÎµÈ DorkBot º¯Çü¿¡¼­ ±âÁ¸ À̵¿Çü ÀúÀåÀåÄ¡¿Í´Â ´Ù¸¥ ÇüÅÂÀÇ Autorun.inf ÆÄÀÏÀ» »ý¼ºÇÏ´Â °ÍÀÌ ¹ß°ßµÇ¾ú´Ù°í ¾È·¦ ½ÃÅ¥¸®Æ¼´ëÀÀ¼¾ÅÍ(ÀÌÇÏ ASEC)´Â ¹àÇû´Ù.


¾Ç¼ºÄڵ忡¼­ USB¿Í °°Àº À̵¿Çü ÀúÀåÀåÄ¡¸¦ ÀÚ½ÅÀÇ º¹Á¦º»À» ÀüÆÄÇϱâ À§ÇÑ ¼ö´ÜÀ¸·Î »ç¿ëµÇ±â ½ÃÀÛÇÑ °ÍÀº ÀÌ¹Ì ¿À·£ Àü ÀÏÀÌ´Ù. ÀÌ·¯ÇÑ À̵¿Çü ÀúÀå ÀåÄ¡¸¦ ¾Ç¼ºÄÚµå ÀüÆÄÀÇ ¼ö´ÜÀ¸·Î »ç¿ëµÇ´Â Á¡Àº °ú°Å Ç÷ÎÇÇ µð½ºÄÏÀÌ DOS ¿î¿µÃ¼Á¦¿¡ °¨¿°µÇ´Â ¹ÙÀÌ·¯½ºÀÇ ÀüÆÄ ¼ö´ÜÀÌ µÇ´Â °Í°ú °°Àº µ¿ÀÏÇÑ ¼±»ó¿¡ ÀÖ´Ù°í ÇÒ ¼ö ÀÖ´Ù.


ÀÌ·¯ÇÑ USB¿Í °°Àº À̵¿Çü ÀúÀåÀåÄ¡·Î ÀÎÇØ ¾Ç¼ºÄڵ尡 À¯Æ÷µÇ¾ú´ø ´ëÇ¥ÀûÀÎ »ç·ÊµéÀº ¾Æ·¡¿Í °°ÀÌ Á¤¸® ÇÒ ¼ö °¡ ÀÖ´Ù.


-2010³â 5¿ù 21ÀÏ - È£ÁÖ º¸¾È ÄÁÆÛ·±½º¿¡¼­ ¾Ç¼ºÄڵ忡 °¨¿°µÈ USB ¹èÆ÷

-2010³â 6¿ù 2ÀÏ - µ¶ÀÏ¿¡ ¼öÃâµÈ »ï¼º ¹Ù´ÙÆù¿¡ °¨¿°µÈ ¾Ç¼ºÄÚµå

-2010³â 9¿ù 10ÀÏ - ÇØ¿Ü¿¡¼­ À̸ÞÀÏÀ» ÀÌ¿ëÇØ ´ë·® À¯Æ÷µÈ Swisyn ¿ú


ÀÌ·¯ÇÑ ´ëÇ¥ÀûÀÎ »ç·Êµé ¿Ü¿¡µµ ´Ù¼öÀÇ ¾Ç¼ºÄÚµåµé¿¡¼­ USB¿Í °°Àº À̵¿Çü ÀúÀå ÀåÄ¡¸¦ ¾Ç¼ºÄÚµå À¯Æ÷ÀÇ ¸Å°³Ã¼·Î ÇÏ¿© »ç¿ëµÇ¾ú´ø »ç·ÊµéÀÌ Á¸ÀçÇϸç ÇöÀç±îÁöµµ ÀÌ·¯ÇÑ »ç·ÊµéÀÌ ÀûÁö ¾Ê°Ô ¹ß°ßµÇ°í ÀÖ´Ù.


À̹ø¿¡ ¹ß°ßµÈ DorkBot º¯Çü Á¦ÀÛÀÚ´Â ¹é½Å(Anti-Virus) ¼ÒÇÁÆ®¿þ¾î¿¡¼­ À̵¿Çü ÀúÀåÀåÄ¡ ·çÆ®¿¡ »ý¼ºµÇ´Â Autorun.inf ÆÄÀÏÀ» ŽÁöÇϱâ À§ÇÑ ´Ù¾çÇÑ ±â¹ýµéÀÌ Æ÷ÇÔµÈ °ÍÀ» ÆľÇÇÏ°í ¾Æ·¡ À̹ÌÁö¿Í °°ÀÌ ½ÇÁ¦ Autorun °ü·Ã ¸í·É¾îµé »çÀÌ¿¡ ´Ù¼öÀÇ ¾²·¹±â µ¥ÀÌÅ͸¦ ä¿ö ³õ°í ÀÖ´Ù.


     


ASECÃøÀº ¡°ÀÌ·¯ÇÑ ´Ù¼öÀÇ ¾²·¹±â µ¥ÀÌÅ͸¦ ä¿òÀ¸·Î½á ¹é½Å ¼ÒÇÁÆ®¿þ¾îÀÇ Å½Áö¿Í ÇÔ²² ºÐ¼®À» Áö¿¬½Ãų ¸ñÀûÀ¸·Î »ç¿ëÇϴ Ư¡ÀÌ Á¸ÀçÇÑ´Ù. ÀÌ ¿Ü¿¡ ÇØ´ç DorkBot º¯ÇüÀº °ø°³µÇÁö ¾ÊÀº ÇÁ¶óÀ̺ø ÆÐÄ¿(Private Packer)·Î ½ÇÇà ¾ÐÃàµÇ¾î ÀÖÀ¸¸ç À̸¦ Ç®°Ô µÇ¸é Visual C++·Î Á¦ÀÛµÈ Äڵ尡 ³ªÅ¸³ª°Ô µÈ´Ù¡±°í ¼³¸íÇß´Ù.


ÇØ´ç ¾Ç¼ºÄڵ尡 ½ÇÇàµÇ¸é ÀÚ½ÅÀÌ ½ÇÇàµÇ´Â ¿µ¿ªÀÌ ´ÙÀ½°ú °°Àº °¡»óÈ­ °ø°£ÀÎÁö È®ÀÎ ÈÄ °¡»óÈ­ °ø°£ÀÏ °æ¿ì ½ÇÇàÀ» Áß´ÜÇÏ°Ô µÈ´Ù.


-Qemu

-VMWrare

-VirualBox


¸¸¾à °¡»óÈ­ °ø°£ÀÌ ¾Æ´Ï¶ó¸é °¨¿°µÈ ½Ã½ºÅÛ¿¡ Á¸ÀçÇÏ´Â Á¤»ó ½Ã½ºÅÛ ÇÁ·Î¼¼½ºÀÎ explorer.exeÀÇ ÇÁ¶óÀ̺ø ¸Þ¸ð¸®(Private Memory) ¿µ¿ª¿¡ ÀÚ½ÅÀÇ ÄÚµå Àüü¸¦ »ðÀÔÇÏ°Ô µÈ´Ù.


            


±×¸®°í ÀÚ½ÅÀÇ º¹»çº»À» rwrttxx.exe (90,112 ¹ÙÀÌÆ®) ¶ó´Â ÆÄÀϸíÀ¸·Î ´ÙÀ½ÀÇ °æ·Î¿¡ »ý¼ºÇÏ°Ô µÈ´Ù.


C:\Documents and Settings\[»ç¿ëÀÚ °èÁ¤¸í]\Application Datawrttxx.exe


±×¸®°í °¨¿°µÈ ½Ã½ºÅÛ¿¡ USB¿Í °°Àº À̵¿Çü ÀúÀåÀåÄ¡°¡ ¿¬°áµÇ¾î ÀÖ´Ù¸é ¾Ç¼ºÄÚµå ÀÚ½ÅÀÇ º¹»çº»ÀÎ DSCI4930.jpg(90,112 ¹ÙÀÌÆ®)°ú Autorun.inf(294,819 ¹ÙÀÌÆ®) ÆÄÀÏÀ» »ý¼ºÇÑ ÈÄ, ¼û±è ¹× ½Ã½ºÅÛ ¼Ó¼ºÀ» ºÎ¿©ÇÏ¿© À©µµ¿ì Ž»ö±â¿¡¼­ ÆÄÀϵéÀÌ º¸ÀÌÁö ¾Ê°Ô ¼û±â°Ô µÈ´Ù.


G:\AdobeReader\DSCI4930.jpg (90,112 ¹ÙÀÌÆ®)

G:\autorun.inf (294,819 ¹ÙÀÌÆ®)


¸¸¾à À̵¿Çü ÀúÀåÀåÄ¡¿¡ ´Ù¸¥ Æú´õ¿Í ÆÄÀϵéÀÌ Á¸ÀçÇÒ °æ¿ì, ÇØ´ç Æú´õ¿Í ÆÄÀϸíÀÇ ¹Ù·Î°¡±â ÆÄÀÏ(*.ink)À» »ý¼ºÇÑ ÈÄ, ÀÌ ¿ª½Ã ¼û±è ¹× ½Ã½ºÅÛ ¼Ó¼ºÀ» ºÎ¿©ÇÏ¿© À©µµ¿ì Ž»ö±â¿¡¼­ º¸ÀÌÁö ¾Ê°Ô ¸¸µé°Ô µÈ´Ù.


°¨¿°µÈ ½Ã½ºÅÛÀÇ À©µµ¿ì ·¹Áö½ºÆ®¸®¿¡ ´ÙÀ½ÀÇ Å° °ªµéÀ» »ý¼ºÇÏ¿© ºÎÆà ½Ã¸¶´Ù »ý¼ºÇÑ ¾Ç¼ºÄڵ尡 ÀÚµ¿ ½ÇÇàµÇµµ·Ï ±¸¼ºÇÏ°Ô µÈ´Ù.


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Adobe Reader Speed Launcher = C:\Documents and Settings\[»ç¿ëÀÚ °èÁ¤¸í]\Application Datawrttxx.exe


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Adobe Reader Speed Launcher = C:\Documents and Settings\[»ç¿ëÀÚ °èÁ¤¸í]\Application Datawrttxx.exe


±×¸®°í °¨¿°µÈ ½Ã½ºÅÛ¿¡¼­ ½ÇÇà ÁßÀÎ Àüü ÇÁ·Î¼¼½º ¸®½ºÆ®¸¦ °Ë»çÇÏ¿© ½Ã½ºÅÛ ¸ð´ÏÅ͸µ °ü·Ã À¯Æ¿¸®Æ¼°¡ ½ÇÇà ÁßÀ̶ó¸é °­Á¦ Á¾·á¸¦ ¼öÇàÇÏ°Ô µÈ´Ù. ÇØ´ç ¾Ç¼ºÄÚµå´Â °¨¿°µÈ ½Ã½ºÅÛ¿¡¼­ ´ÙÀ½ÀÇ URL ÁÖ¼Ò¸¦ °¡Áø C&C ¼­¹ö·Î Á¢¼ÓÀ» ¼öÇàÇÏ°Ô µÇ³ª ºÐ¼® ´ç½Ã¿¡´Â Á¤»óÀûÀÎ Á¢¼ÓÀÌ ÀÌ·ç¾îÁöÁö ¾Ê¾Ò´Ù.


entceqipqujagjzp/ngrs/gate.php


ÇØ´ç URL ÁÖ¼Ò¸¦ °¡Áø C&C ¼­¹ö·Î Á¢¼ÓÀÌ Á¤»óÀûÀ¸·Î ¼º°øÇÏ°Ô µÇ¸é °ø°ÝÀÚÀÇ ¸í·É¿¡ µû¶ó ´ÙÀ½ÀÇ ¾ÇÀÇÀûÀÎ ±â´ÉÀ» ¼öÇàÇÏ°Ô µÈ´Ù.


-½Ã½ºÅÛ ÀçºÎÆÃ

-ÆÄÀÏ ´Ù¿î·Îµå ¹× ¾÷·Îµå

-DDoS °ø°Ý(UDP, SYN) ½ÃÀÛ ¹× Áß´Ü

-¿î¿µÃ¼Á¦ ¹öÀü Á¤º¸

-MSN, Gtalk, eBuddy, Facebook ¸Þ½ÅÀú ÇÁ·Î±×·¥À» ÀÌ¿ëÇÑ ¾Ç¼ºÄÚµå ÀüÆÄ ½ÃÀÛ ¹× Áß´Ü

-FileZilla¿¡ ¼³Á¤µÇ¾î ÀÖ´Â ¼­¹ö ÁÖ¼Ò ¹× °èÁ¤ Á¤º¸ Å»Ãë


ÀÌ ¿Ü¿¡ ´ÙÀ½ÀÇ ¼Ò¼È ³×Æ®¿öÅ©(Social Network) À¥ »çÀÌÆ®µé¿¡ »ç¿ëÀÚ °èÁ¤ ¼¼¼ÇÀÌ È°¼ºÈ­ µÇ¾î ÀÖÀ» °æ¿ì, ÇØ´ç ¾Ç¼ºÄڵ带 À¯Æ÷Çϱâ À§ÇØ ¾Ç¼ºÄڵ带 ´Ù¿î·Îµå °¡´ÉÇÑ °Ô½Ã¹°µéÀ» ¼¼¼ÇÀÌ È°¼ºÈ­µÈ »ç¿ëÀÚ °èÁ¤À¸·Î »ý¼ºÇÏ°Ô µÈ´Ù.


-Bebo.com

-Liknkedin.com

-Myspace.com

-Twitter.com

-Facebook.com


±×¸®°í °¨¿°µÈ ½Ã½ºÅÛÀÇ »ç¿ëÀÚ°¡ ´ÙÀ½ À¥ »çÀÌÆ®µé¿¡ ·Î±×ÀÎ ÇÏ°Ô µÇ´Â °æ¿ì, »ç¿ëÀÚ °èÁ¤¸í°ú ·Î±×ÀÎ ¾ÏÈ£¸¦ C&C ¼­¹ö·Î Àü´ÞÇÏ°Ô µÈ´Ù.


Webnames.ru, Live.com, Gmail.com, Yahoo.com, Zpag.es, Linkbucks.com, Adf.ly, Twodallarclick.com, Blockbuster.com, Netflix.com, Uploading.com, Fileserver.com, Hotfile.com, Therpiratebay.org, Bangbros.com, Naughtyamerica.com, Brazzers.com, Pornhub.com, Hackforums.net, Wmtransfer.com, Moneybooker.com, Paypal.com


À̹ø¿¡ ¹ß°ßµÈ ¹é½Å Á¦Ç°ÀÇ Å½Áö¸¦ ¿ìȸÇϱâ À§ÇÑ Autorun.inf ÆÄÀÏÀ» »ý¼ºÇÏ´Â DorkBot º¯ÇüÀº V3 Á¦Ç°±º¿¡¼­ ´ÙÀ½°ú °°ÀÌ Áø´ÜÇÑ´Ù.


-Win-Trojan/Klibot.90112

[±èÅÂÇü ±âÀÚ(boan@boannews.com)]


<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(http://www.boannews.com/) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 1
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)