본문으로 바로가기

7.7 DDOS - 2009년 남은 좀비 PC??

category Malware 2010.07.08 14:25
미비하지만, 작년 7.7 DDOS 를 떠올리게 해주는 DDOS 공격이 탐지되었다.

분위기는 남은 좀비 PC 들의 공격으로 흘러가는 듯 하다.

이같은 주장의 근거는 작년에 사용되었던 악성코드안에 2009년으로 年을 변경하는 루틴이 있기 때문이다.

중요한 부분만 보기 쉽게 코드로 변경해 보면 아래와 같다.

GetLocalTime(&SystemTime);
SystemTime.wYear = 2009;
SystemTimeToVariantTime(&SystemTime, &pvtime);
이는 시스템의 시스템 시간을 변경하는 것이 아니다.
시스템 시간을 얻어와서, 그 시간에서 wYear 멤버변수를 2009로 수정하고,
그것을 &pvtime에 저장하는 것이다.

&pvtime 은 추후에 특정 비교루틴에서 사용될 것이고, 그 루틴은 보통 현재 시간을 얻어와서,
&pvtime과 비교한 결과에 따라 행동이 결정되는 것이다.

이는 작년 7.7 DDOS 당시 하드디스크를 파괴하는 40004(2009-07-10) 에서도 사용된 방법이다.
* 40004라는 수치는 SystemTimeToVariantTime() 을 사용해 구해지는 값이다.

남아있는 좀비 PC들에 MBR을 파괴하는 악성코드가 그대로 존재한다면,
작년과 동일하게 10일 이후 MBR을 포함한 특정 확장자를 가진 파일들을 파괴 하게 될 것이다.

***********
2009/07/10 - [Malware] - [긴급] 사이버테러 (7.7 DDOS) - MBR 파괴, 파일파괴 (3)
2009/07/10 - [Malware] - [긴급] 사이버테러 (7.7 DDOS) - MBR 파괴, 파일파괴 (2)
2009/07/10 - [Malware] - [긴급] 사이버테러 (7.7 DDOS) - MBR 파괴, 파일파괴 (1)


댓글을 달아 주세요

  1. 나그네 2010.07.08 20:32

    MBR이 날라간다면... 지금까지 살아남지 않았지 않을까요? ^^;

  2. Favicon of https://mylabs.tistory.com BlogIcon koredge [Edge] 신고">2010.07.09 00:46 신고

    그렇죠.
    DDOS 모듈과 MBR파괴에 필요한 모듈파일은 서로 각기 다른 파일이며, 존재여부도 조금 차이가 있었습니다. 작년기준이구요^^
    물론 제가 포스팅한 글은 남아있는 작년 좀비 PC라는 주장에 근거가 될법한 내용만을 적었습니다. ㅎ
    DDOS 에 사용되는 파일들은 업데이트 기능들을 포함하고 있고,
    해당 모듈이 업데이트를 통해 다른 모듈이 설치되었다라면 또 모르겠지요?^^

    어디까지나 개인적인 견해입니다.^^

  3. 이 정보를 공유 주셔서 감사합니다. 정말 의견을 표현하고 정보를 공유의 방법이 좋아요. 그것은 기회가 삶에서 새로운 것들을 가져다으로 이동 좋습니다 등 발전을위한 길을 불법 체류자