DDoS 관련 악성코드(virut) 출현, 주의 요망(9.16 수정

해외로부터 'virut' 바이러스가 국내에 유입되어 네트워크 마비 등 피해가 발생하고 있으므로 각급기관 보안담당자는 백신업데이트를 수행하고 감염 PC를 네트워크에서 분리하는 등 적절한 조치를 신속히 취해 주시기 바랍니다. ■ 주요특징   o 'virut' 바이러스는 윈도우 실행파일(.exe, .scr)을 감염시키는 형식으로 전파 o 감염시 IRC 지령서버(proxima.ircgalaxy.pl)에 자동접속 o 해커의 지령에 따라 DDoS 공격용 악성코드를 다운로드 받아 특정 도메인(www.e-gold.com)을 대상으로 SYN Flooding 공격을 수행 o 이에따라, 과도한 트래픽이 발생되어 네트워크 장비 작동 중지 또는 네트워크 속도가 현저하게 느려지는 등 피해 발생 o 자체 전파기능은 없지만 기존 '웜'에 'virut' 바이러스가 감염되어 전파기능을 갖게되는 경우도 발생   ■ 감염경로 o P2P, 출처가 불분명한 웹사이트 방문, 악성 이메일 열람 등 매우 다양한 방법으로 확산 가능 ■ 감염증상 o 악성코드 복사   - %systemroot%\temp\VRT[랜덤숫자].tmp로 악성코드 복사 o IRC 지령서버 접속   - IRC 지령서버(proxima.ircgalaxy.pl) 접속 시도(TCP 65530 포트) o 추가 악성코드(DDoS 공격용 악성코드) 다운로드   - 공격자의 지령에 따라 아래의 도메인을 통해 악성코드 다운로드 시도     -> ircd.zief.pl     -> dhl4.irc-sgo.org     -> dl2.teenpassage.com     -> wanrzcvupf.hk     -> ygngptudai.biz o DDoS 공격   - 'www.e-gold.com'을 대상으로 SYN Flooding 공격(TCP 80,443 포트) 수행 * 악성코드 변종에 따라 감염증상에 다소 차이가 있을수 있므로 네트워크 모니터링 강화 ■ 대응책 o MS 윈도우 보안업데이트 설치   - 최신 MS 윈도우 보안업데이트를 적용하여 악성코드 감염 예방 o 백신업데이트 적용   - 백신프로그램을 최신버전으로 업데이트하여 감염된 PC 치료 및 피해 예방   - 백신프로그램에 'virut' 바이러스가 감염되었을 경우 정상적으로 치료가 되지 않으므로 아래의 링크를 참조, 전용백신을 이용하여 치료     -> 안철수연구소 : http://kr.ahnlab.com/dwVaccineView.ahn?num=55&cPage=1     -> 하우리 : http://www.hauri.co.kr/download/customer/vaccine_down.html?menu=STE     -> 뉴테크웨이브(무료 평가판) : http://www.viruschaser.com /main/down/down.jsp o 네트워크 장애 방지   - 내부 업무망 네트워크 장비에서 인터넷 구간으로 악성코드 트래픽 전파를 막기 위해 악성 도메인(proxima.ircgalaxy.pl 등)을 라우터, DNS에서 Black Hole 처리   - 변종 출현이 가능하므로 방화벽, IDS등 네트워크 장비를 지속 모니터링하여 동일 증상이 발생하는지 확인. 특히, TCP 65520 포트 집중 감시 필요   - 방화벽, IDS 등 네트워크 장비의 로그에서 악성 도메인(proxima.ircgalaxy.pl 등)으로 접속한 IP를 검색, 해당 PC를 찾아 네트워크에서 분리 조치 ■ 참고사이트   o 안철수연구소 : http://www.ahnlab.com     o 하우리 : http://www.hauri.co.kr     o 뉴테크웨이브 : http://www.viruschaser.com