7.7 DDOS - 2009년 남은 좀비 PC??

미비하지만, 작년 7.7 DDOS 를 떠올리게 해주는 DDOS 공격이 탐지되었다.

분위기는 남은 좀비 PC 들의 공격으로 흘러가는 듯 하다.

이같은 주장의 근거는 작년에 사용되었던 악성코드안에 2009년으로 年을 변경하는 루틴이 있기 때문이다.

중요한 부분만 보기 쉽게 코드로 변경해 보면 아래와 같다.

GetLocalTime(&SystemTime);
SystemTime.wYear = 2009;
SystemTimeToVariantTime(&SystemTime, &pvtime);

이는 시스템의 시스템 시간을 변경하는 것이 아니다.
시스템 시간을 얻어와서, 그 시간에서 wYear 멤버변수를 2009로 수정하고,
그것을 &pvtime에 저장하는 것이다.

&pvtime 은 추후에 특정 비교루틴에서 사용될 것이고, 그 루틴은 보통 현재 시간을 얻어와서,
&pvtime과 비교한 결과에 따라 행동이 결정되는 것이다.

이는 작년 7.7 DDOS 당시 하드디스크를 파괴하는 40004(2009-07-10) 에서도 사용된 방법이다.
* 40004라는 수치는 SystemTimeToVariantTime() 을 사용해 구해지는 값이다.

남아있는 좀비 PC들에 MBR을 파괴하는 악성코드가 그대로 존재한다면,
작년과 동일하게 10일 이후 MBR을 포함한 특정 확장자를 가진 파일들을 파괴 하게 될 것이다.

***********
2009/07/10 - [Malware] - [긴급] 사이버테러 (7.7 DDOS) - MBR 파괴, 파일파괴 (3)
2009/07/10 - [Malware] - [긴급] 사이버테러 (7.7 DDOS) - MBR 파괴, 파일파괴 (2)
2009/07/10 - [Malware] - [긴급] 사이버테러 (7.7 DDOS) - MBR 파괴, 파일파괴 (1)