2024-04-15 07:55 (월)
윈도우 유틸리티로 위장한 악성 DDoS 봇 유포...주의
상태바
윈도우 유틸리티로 위장한 악성 DDoS 봇 유포...주의
  • 길민권
  • 승인 2014.01.04 21:03
이 기사를 공유합니다

NSHC RedAlert팀 “다양한 DDoS 공격 수행하는 Bot으로 동작”
NSHC(대표 허영일) RedAlert팀에서 ‘YeeTooMD5 Bot’에 대한 악성코드 분석 보고서를 발표했다.
 
해당 보고서에 따르면, “파일의 MD5 Sum을 계산해주는 윈도우 유틸리티로 위장한 악성 DDoS 봇(Bot)이 유포되고 있다. 다양한 안티 디버깅 기법과 Virtual Machine Detection, SandBox Detection, Delay Binding 등을 이용해 악성코드의 보호를 고도화 시켰다”며 “시스템 감염 시 C&C 서버에 의해 Update/Download Attack, TCP/UDP Flood, HTTP POST 등 다양한 DDoS 공격을 수행하는 Bot으로 동작한다. 감염이 의심되는 시스템에서는 대응방안에 따른 조치와 백신을 통한 치료가 필요하다”고 강조했다.


<악성코드에서 발생하는 메모리 할당과 코드실행 흐름. RedAlert팀 제공>

이 보고서에는 악성코드 파일 정보와 상세분석 내용 등이 포함돼 있다. 특히 디도스 봇의 C&C 서버 위치도 밝히고 있다.
 
RedAlert팀은 “샌드박스와 Cuckoo 등 악성코드 분석 기술이 발전함에 따라 악성코드 또한 다양한 방법을 통해 악성코드를 보호하며 라이프 사이클을 연장시키려는 노력을 보이고 있다”며 “악성코드가 시스템에 저장되는 위치는 CSIDL_APPDA와 CSIDL_PROGRAM_FILES 중 한 곳이다. 악성코드 설정 값이 저장되어 있는 레지스트리 키를 삭제해 주면 된다”고 조언했다.
 
이번 분석 보고서는 RedAlert팀 페이스북 페이지에서 다운로드 가능하며 데일리시큐 자료실에서도 다운받을 수 있다.
 
-RedAlert팀: www.facebook.com/nshc.redalert?ref=profile
 
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★