Mylabs

미비하지만, 작년 7.7 DDOS 를 떠올리게 해주는 DDOS 공격이 탐지되었다. 분위기는 남은 좀비 PC 들의 공격으로 흘러가는 듯 하다. 이같은 주장의 근거는 작년에 사용되었던 악성코드안에 2009년으로 年을 변경하는 루틴이 있기 때문이다. 중요한 부분만 보기 쉽게 코드로 변경해 보면 아래와 같다. GetLocalTime(&SystemTime); SystemTime.wYear = 2009; SystemTimeToVariantTime(&SystemTime, &pvtime); 이는 시스템의 시스템 시간을 변경하는 것이 아니다. 시스템 시간을 얻어와서, 그 시간에서 wYear 멤버변수를 2009로 수정하고, 그것을 &pvtime에 저장하는 것이다. &pvtime 은 추후에 특정 비교루틴에서 사용될 것이고,..

2009/07/10 - [Malware] - [긴급] 사이버테러 (7.7 DDOS) - MBR 파괴, 파일파괴 (1) 2009/07/10 - [Malware] - [긴급] 사이버테러 (7.7 DDOS) - MBR 파괴, 파일파괴 (2) 2009/07/10 - [Malware] - [긴급] 사이버테러 (7.7 DDOS) - MBR 파괴, 파일파괴 (3) #3 - wversion.exe 이번 공격의 핵심이 되는 wversion.exe를 살펴보도록 하겠습니다. - Thread를 생성하는 Main함수의 코드부분. - Write할 내용에 대한 메모리 할당 - 할당된 버퍼에 공격할 문자열 셋팅 - 준비된 공격문자열을 OverWrite하기위한 준비과정 악성코드는 현재의 유효 물리적 디스크의 MBR영역을 검색 한다. ..

2009/07/10 - [Malware] - [긴급] 사이버테러 (7.7 DDOS) - MBR 파괴, 파일파괴 (1) 2009/07/10 - [Malware] - [긴급] 사이버테러 (7.7 DDOS) - MBR 파괴, 파일파괴 (2) 2009/07/10 - [Malware] - [긴급] 사이버테러 (7.7 DDOS) - MBR 파괴, 파일파괴 (3) #1 - wmcfg.exe 1. 리소스 파일 Drop 2. Dropfile mstimer.dll 서비스 등록 4개의 리소스를 드랍하게 됩니다. 상위 2개는 레지스트리쪽 값으로 추정되며, 중요한 것은 하위 2개의 리소스 파일들입니다. 2개의 파일은 각각 mstimer.dll wversion.exe 으로 구성되어 있습니다. wversion.exe는 flash...

2009/07/10 - [Malware] - [긴급] 사이버테러 (7.7 DDOS) - MBR 파괴, 파일파괴 (1) 2009/07/10 - [Malware] - [긴급] 사이버테러 (7.7 DDOS) - MBR 파괴, 파일파괴 (2) 2009/07/10 - [Malware] - [긴급] 사이버테러 (7.7 DDOS) - MBR 파괴, 파일파괴 (3) MBR를 OverWrite 하고, PE가 아닌 일반 어플리케이션 관련한 파일들을 .gz으로 바꾸는 시스템에 치명적인 행위를 하는 공격이 시작되었습니다. 해당 공격은 2009-07-10 00시를 기점으로 시작됩니다. 해당 악성코드들에 대해 알아 보시죠. 6일부터 시작되었던 DDOS에 대한 내용은 따로 기재할 것이며, 긴급한 사항인 만큼 현재 대응하고 있는 "..