해외로부터 'virut' 바이러스가 국내에 유입되어 네트워크 마비 등 피해가 발생하고 있으므로 각급기관 보안담당자는 백신업데이트를 수행하고 감염 PC를 네트워크에서 분리하는 등 적절한 조치를 신속히 취해 주시기 바랍니다.



■ 주요특징

 

o 'virut' 바이러스는 윈도우 실행파일(.exe, .scr)을 감염시키는 형식으로 전파

o 감염시 IRC 지령서버(proxima.ircgalaxy.pl)에 자동접속

o 해커의 지령에 따라 DDoS 공격용 악성코드를 다운로드 받아 특정 도메인(www.e-gold.com)을 대상으로 SYN Flooding 공격을 수행

o 이에따라, 과도한 트래픽이 발생되어 네트워크 장비 작동 중지 또는 네트워크 속도가 현저하게 느려지는 등 피해 발생

o 자체 전파기능은 없지만 기존 '웜'에 'virut' 바이러스가 감염되어 전파기능을 갖게되는 경우도 발생
 


■ 감염경로

o P2P, 출처가 불분명한 웹사이트 방문, 악성 이메일 열람 등 매우 다양한 방법으로 확산 가능

■ 감염증상

o 악성코드 복사
  - %systemroot%\temp\VRT[랜덤숫자].tmp로 악성코드 복사

o IRC 지령서버 접속
  - IRC 지령서버(proxima.ircgalaxy.pl) 접속 시도(TCP 65530 포트)

o 추가 악성코드(DDoS 공격용 악성코드) 다운로드
  - 공격자의 지령에 따라 아래의 도메인을 통해 악성코드 다운로드 시도
    -> ircd.zief.pl
    -> dhl4.irc-sgo.org
    -> dl2.teenpassage.com
    -> wanrzcvupf.hk
    -> ygngptudai.biz

o DDoS 공격
  - 'www.e-gold.com'을 대상으로 SYN Flooding 공격(TCP 80,443 포트) 수행

* 악성코드 변종에 따라 감염증상에 다소 차이가 있을수 있므로 네트워크 모니터링 강화



■ 대응책

o MS 윈도우 보안업데이트 설치
  - 최신 MS 윈도우 보안업데이트를 적용하여 악성코드 감염 예방

o 백신업데이트 적용
  - 백신프로그램을 최신버전으로 업데이트하여 감염된 PC 치료 및 피해 예방
  - 백신프로그램에 'virut' 바이러스가 감염되었을 경우 정상적으로 치료가 되지 않으므로 아래의 링크를 참조, 전용백신을 이용하여 치료
    -> 안철수연구소 : http://kr.ahnlab.com/dwVaccineView.ahn?num=55&cPage=1
    -> 하우리 : http://www.hauri.co.kr/download/customer/vaccine_down.html?menu=STE
    -> 뉴테크웨이브(무료 평가판) : http://www.viruschaser.com /main/down/down.jsp

o 네트워크 장애 방지
  - 내부 업무망 네트워크 장비에서 인터넷 구간으로 악성코드 트래픽 전파를 막기 위해 악성 도메인(proxima.ircgalaxy.pl 등)을 라우터, DNS에서 Black Hole 처리
  - 변종 출현이 가능하므로 방화벽, IDS등 네트워크 장비를 지속 모니터링하여 동일 증상이 발생하는지 확인. 특히, TCP 65520 포트 집중 감시 필요
  - 방화벽, IDS 등 네트워크 장비의 로그에서 악성 도메인(proxima.ircgalaxy.pl 등)으로 접속한 IP를 검색, 해당 PC를 찾아 네트워크에서 분리 조치



■ 참고사이트

  o

안철수연구소 : http://www.ahnlab.com
 

  o

하우리 : http://www.hauri.co.kr
 

  o

뉴테크웨이브 : http://www.viruschaser.com
 

  1. jenny s breasts 2008.05.23 04:35

    우수한 위치! 많은 감사.

+ Recent posts