SimDiskup.exe, Ãß°¡ ¾Ç¼ºÄÚµå ´Ù¿î·ÎµåÇϵµ·Ï ¾Ç¼ºÆÄÀÏ »ý¼º
Æ÷Ƽ³Ý ÄÚ¸®¾Æ, ¡®6.25 DNS DDoS °ø°Ý ºÐ¼® ¸®Æ÷Æ®¡¯ ¹ßÇ¥
[º¸¾È´º½º ±è°æ¾Ö] ºÏÇÑ Á¤ÂûÃѱ¹ ÇØÄ¿Á¶Á÷À¸·Î ÃßÁ¤µÇ´Â 6.25»çÀ̹öÅ×·¯·Î ÀÎÇØ Ã»¿Í´ë¸¦ ºñ·ÔÇÑ ´Ù¼öÀÇ Á¤ºÎ À¥»çÀÌÆ®°¡ ´Ù¿îµÇ°Å³ª Á¢¼Ó ºÒ°¡ µî ÇÇÇØ°¡ ÀÕµû¶ú´Ù. À̹ø 6.25 »çÀ̹öÅ×·¯´Â DDoS °ø°ÝÀ» ¼öÇàÇÏ´Â ¾Ç¼ºÄڵ尡 Á¤ºÎ À¥»çÀÌÆ®ÀÇ ´ëÇ¥ DNS ¼¹ö µÎ°÷ÀÎ ns.gcc.go.kr°ú ns2.gcc.go.krÀ» °ø°ÝÇÏ¿© ¹ß»ýµÈ °ÍÀ¸·Î ¾Ë·ÁÁ® ÀÖ´Ù.
¡ã¾ÐÃàÀ» ½º½º·Î Ǫ´Â self-extract RAR ÆÄÀÏÀÌ ´Ù¿î·ÎµåµÈ ĸÃÄ È¸é
ÀÌ¿Í °ü·Ã Æ÷Ƽ³Ý ÄÚ¸®¾Æ°¡ ºÐ¼®ÇÑ ¡®6.25 DNS DDoS °ø°Ý ºÐ¼® ¸®Æ÷Æ®¡¯¿¡ µû¸£¸é À̹ø Á¶»ç°úÁ¤¿¡¼ ÃÖÃÊÀÇ °ø°ÝÀÇ ¿øÀÎÀÌ µÇ´Â »ùÇÃÀÌ simdisk.co.kr ÁÖ¼ÒÀÇ À¥»çÀÌÆ®¿¡¼ ´Ù¿î·ÎµåµÇ¾ú´Ù´Â »ç½ÇÀ» ¹ß°ßÇß´Ù´Â °Í. ´Ù¿î·ÎµåµÈ ÆÄÀÏÀº SimDisk_setup.exe¶ó´Â ÆÄÀϸíÀÇ ½ÇÇàÇÁ·Î±×·¥À¸·Î ½º½º·Î ¾ÐÃàÀ» Ǫ´Â(self-extract) RAR ÆÄÀÏÀ̶ó´Â °ÍÀÌ´Ù.
ÇØ´ç ¾ÐÃà ÆÄÀÏ ³»¿¡´Â ¾Æ·¡¿Í °°ÀÌ 2°³ÀÇ ÆÄÀÏÀÌ Á¸ÀçÇÑ´Ù.
SimDiskup.exe ÆÄÀÏÀº Áö³ 24ÀÏ¿¡ »ý¼ºµÈ ¾Ç¼ºÆÄÀÏÀ̸ç, ÇØ´ç ÆÄÀÏÀº ¿ø°ÝÀ¸·Î À¥»çÀÌÆ®¿¡¼ Ãß°¡ ¾Ç¼ºÄڵ带 ´Ù¿î·ÎµåÇϵµ·Ï ÀÛµ¿Çϸç, ÇØ´ç À¥»çÀÌÆ®¿¡¼ c.jpg ÆÄÀÏÀ» ´Ù¿î·ÎµåÇÑ´Ù.
c.jpg ÆÄÀÏÀº ½ÇÁ¦·Î´Â ½ÇÇà ÆÄÀÏÀ̸ç, ´Ù¿î·Îµå°¡ ¿Ï·áµÈ ÈÄ ÀúÀåµÉ ¶§¿¡´Â ~simdisk.exe ¶ó´Â ½ÇÇàÆÄÀÏ·Î ÀúÀåµÈ´Ù.
~simdisk.exe (c.jpg)´Â ÆÄÀÏ ½ÇÇà°ú ÇÔ²² alg.vexe, config.ini, explorer.vexe µî°ú °°Àº 3°¡Áö ÆÄÀÏÀ» »ý¼ºÇϸç, ÀÌ´Â ¸ðµÎ °¡»ó Å͹̳Π³×Æ®¿öÅ©¸¦ ÀÌ¿ëÇÏ´Â TOR ½Ã½ºÅÛ ¹öÀü 0.2.3.25·Î ¹àÇôÁ³´Ù´Â °ÍÀÌ´Ù.
ÀÌÈÄ, TOR ½Ã½ºÅÛÀ» ÅëÇØ ÃÖÁ¾ÀûÀ¸·Î DDoS °ø°ÝÀ» °¨ÇàÇÏ´Â ÆÄÀÏÀ» ´Ù¿î·ÎµåÇÑ´Ù´Â °ÍÀÌ Æ÷Ƽ³ÝÀÇ ¼³¸íÀÌ´Ù. ±×·¯³ª Themida ÆÄÀÏ·Î ±¸¼ºµÇ¾î ÀÖ¾úÁö¸¸ °ø°ÝÀ» °¨ÇàÇÏ´Â ÃÖÁ¾ DDoS ÆÄÀÏÀº ¾Æ´Ï¾ú´Ù°í ¹àÇû´Ù.
µû¶ó¼ ÃÖÁ¾ °ø°Ý ¼ø¼¸¦ »ìÆ캸¸é ¡â°¡Àå ¸ÕÀú FileMapping Object¸¦ üũÇÑ °ÍÀ¸·Î Áö³ 3.20 °ø°Ý°ú À¯»çÇÑ ¹æ½ÄÀ¸·Î ÁøÇàµÆ´Ù. ¡âÀÌÈÄ, PCÀÇ OS¹öÀüÀÌ 32ºñÆ®ÀÎÁö 64ºñÆ®ÀÎÁö °Ë»çÇÏ¿© 32ºñÆ®ÀÇ OSÀÏ °æ¿ì ~DR[·£´ý ¼ýÀÚ].tmp ÆÄÀÏÀ» µå·ÓÇÏ°í ~DR[·£´ý ¼ýÀÚ].tmp ÆÄÀÏÀ» ·ÎµùÇÑ ÈÄ ¼ºñ½º¸¦ À§ÇÑ ¶Ç ´Ù¸¥ DLL ÆÄÀÏÀ» »ý¼ºÇÑ´Ù. ¡â¼ºñ½º°¡ ½ÃÀ۵Ǹé FileMapping Object¸¦ üũ ¡âAPI ÁÖ¼Ò¸¦ ÆľÇÇÏ¿© ¾²·¹µå(Thread)¸¦ »ý¼ºÇÑ ÈÄ Á¢¼Ó ½Ãµµ ¡â ÀÀ´ä µ¥ÀÌÅ͸¦ ±¸¼ºÇÑ´Ù.
¿©±â¼ ÀÀ´äµ¥ÀÌÅÍ´Â ¾Æ·¡¿Í °°ÀÌ 2°³ÀÇ ÆÄÆ®·Î ±¸¼ºÇÑ´Ù.
(1) BM6W´Â ¹ÙÀ̳ʸ® »ó¿¡ ½É¾îÁø À¯ÀÏÇÑ ¸í·É¾î·Î ¸¸¾à ÀÀ´ä µ¥ÀÌÅÍ°¡ BM6W¿Í´Ù¸¦ ½Ã Á¤Áö ÈÄ Àç½ÃµµÇÑ´Ù.
(2) ½ÃÇÑÆøź(Time Bomb) ÇüÅ·νá 3.20 °ø°Ý¿¡ »ç¿ëµÈ Çϵåµð½ºÅ© Æı« °ø°Ý°ú À¯»çÇÏ´Ù. ¸¸¾à ½Ã½ºÅ۽ð£ÀÌ 6¿ù 25ÀÏ 10:00 º¸´Ù Ä¿Áö¸é ÀÚµ¿ÀûÀ¸·Î Themida·Î ±¸¼ºµÈ Ãß°¡ ÆÄÀÏÀ» µå·ÓÇÑ´Ù.
µû¶ó¼ ÃÖÁ¾ DDoS °ø°Ý ½ÃÀÛÀº µÎ °³ÀÇ ¾²·¹µå Äõ¸®¿¡¼ [·£´ý ½ºÆ®¸µ].gcc.go.krÀ» ÅëÇØ DDoS °ø°ÝÀ» °¨ÇàÇß´Ù´Â °ÍÀÌ´Ù. 2°³ÀÇ DDoS Ÿ±êÀº ¹ÙÀ̳ʸ® »ó¿¡¼ ½É¾îÁ® ÀÖÀ¸¸ç, ±× Ÿ±êÀº 152.99.1.10°ú 152.99.200.6 ÀÓÀÌ È®ÀεƴÙ.
ÀÌ¿¡ µû¶ó Æ÷Ƽ³ÝÀº ´ëÀÀÁ¶Ä¡·Î ÇöÀç 6.25 »çÀ̹ö Å×·¯¿Í °ü·ÃµÈ ½Ã±×´Ïó´Â µ¥ÀÌÅͺ£À̽º¿¡ ¸ðµÎ ¾÷µ¥ÀÌÆ® ¿Ï·áµÆ´Ù°í ¹àÇû´Ù. °í°´µéÀº ä³Î ¹× ÀÚµ¿ ¾÷µ¥ÀÌÆ® µîÀ» ÅëÇØ ÃֽŠ¾÷µ¥ÀÌÆ®µÈ ½Ã±×´Ïó¸¦ ´Ù¿î·Îµå ¹ÞÀ» ¼ö ÀÖ´Ù°í µ¡ºÙ¿´´Ù.
[±è°æ¾Ö ±âÀÚ(boan3@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(http://www.boannews.com/) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>