L2J with DuraBoys

o 'virut' 바이러스는 윈도우 실행파일(.exe, .scr)을 감염시키는 형식으로 전파

o 감염시 IRC 지령서버(proxima.ircgalaxy.pl)에 자동접속

o 해커의 지령에 따라 DDoS 공격용 악성코드를 다운로드 받아 특정 도메인(www.e-gold.com)을 대상으로 SYN Flooding 공격을 수행

o 이에따라, 과도한 트래픽이 발생되어 네트워크 장비 작동 중지 또는 네트워크 속도가 현저하게 느려지는 등 피해 발생

o 자체 전파기능은 없지만 기존 '웜'에 'virut' 바이러스가 감염되어 전파기능을 갖게되는 경우도 발생
 

o 악성코드 복사
  - %systemroot%\temp\VRT[랜덤숫자].tmp로 악성코드 복사

o IRC 지령서버 접속
  - IRC 지령서버(proxima.ircgalaxy.pl) 접속 시도(TCP 65530 포트)

o 추가 악성코드(DDoS 공격용 악성코드) 다운로드
  - 공격자의 지령에 따라 아래의 도메인을 통해 악성코드 다운로드 시도
    -> ircd.zief.pl
    -> dhl4.irc-sgo.org
    -> dl2.teenpassage.com
    -> wanrzcvupf.hk
    -> ygngptudai.biz

o DDoS 공격
  - 'www.e-gold.com'을 대상으로 SYN Flooding 공격(TCP 80,443 포트) 수행

* 악성코드 변종에 따라 감염증상에 다소 차이가 있을수 있므로 네트워크 모니터링 강화

o 백신업데이트 적용
  - 백신프로그램을 최신버전으로 업데이트하여 감염된 PC 치료 및 피해 예방
  - 백신프로그램에 'virut' 바이러스가 감염되었을 경우 정상적으로 치료가 되지 않으므로 아래의 링크를 참조, 전용백신을 이용하여 치료
    -> 안철수연구소 : http://kr.ahnlab.com/dwVaccineView.ahn?num=55&cPage=1
    -> 하우리 : http://www.hauri.co.kr/download/customer/vaccine_down.html?menu=STE
    -> 뉴테크웨이브(무료 평가판) : http://www.viruschaser.com /main/down/down.jsp

o 네트워크 장애 방지
  - 내부 업무망 네트워크 장비에서 인터넷 구간으로 악성코드 트래픽 전파를 막기 위해 악성 도메인(proxima.ircgalaxy.pl 등)을 라우터, DNS에서 Black Hole 처리
  - 변종 출현이 가능하므로 방화벽, IDS등 네트워크 장비를 지속 모니터링하여 동일 증상이 발생하는지 확인. 특히, TCP 65520 포트 집중 감시 필요
  - 방화벽, IDS 등 네트워크 장비의 로그에서 악성 도메인(proxima.ircgalaxy.pl 등)으로 접속한 IP를 검색, 해당 PC를 찾아 네트워크에서 분리 조치

안철수연구소 : http://www.ahnlab.com
 

하우리 : http://www.hauri.co.kr
 

뉴테크웨이브 : http://www.viruschaser.com