공격 명령을 내리는 C&C서버를 찾기위한 ip추적도 불가.
whois까지 접속불가로 만들어 아이피추적을 피하는 치밀함을 보여주고있습니다.
이미지출처 : www.zdnet.co.kr
현재 대략 4만 5천대의 pc가 ddos공격을 시도하는 좀비pc로 밝혀지고있다고합니다.
꾸준한 보안패치와 백신검사로 관리를 잘해오셨던 분이라면 문제가 없겠지만
좀비pc들이 문제라는데.. 대부분 아무런 문제없이 느끼시면서 사용하시고 계실지모르나, 만약 자신의컴이 좀비pc라고 생각한다면 정말 열받겠지요...
우선 봇의 특성을 살펴봅시다. DDOS 공격 봇의 특성입니다.
[악성코드 감염 PC 증상]
o 윈도우 서비스 형태로 등록되어 컴퓨터 시작과 함께 자동으로 실행됨
o 방화벽 설정 비활성화
o 다수의 특정 도메인을 대상으로 HTTP / UDP / ICMP Ping 패킷을 지속적으로 전송
- 악성코드의 명령제어(C&C) 서버 접속 없이 악성코드 감염 시 생성된 공격 대상 도메인 목록 파일을 기반으로 자동 공격
- 각 도메인으로 향하는 공격 트래픽은 1.0 ~ 25.3 KBPS 수준임 (분당 트래픽으로 환산하면 57.2 KB ~ 1.5 MB)
- 하나의 감염 PC에서 발생시키는 총 트래픽은 54.2 KBPS로 해당 PC에 큰 무리를 주지 않음 (분당 약 3.3 MB)
- HTTP GET Flooding으로 발생하는 트래픽의 비율이 전체 공격 트래픽의 92.4%로 대부분을 차지하는 반면 UDP와
ICMP Ping 트래픽은 약 4%에 해당함
[피해 사이트에서 관찰되는 증상]
o HTTP 헤더의 User-Agent 항목을 다음과 같이 서로 다른 5가지의 유형으로 변경해가면서 지속적으로 요청을 수행
- User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; GTB6; .NET CLR 2.0.50727;
.NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
- User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; GTB6;
.NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
- User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.20)
Gecko/20081217 Firefox/2.0.0.20 (.NET CLR 3.5.30729)
- User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.2;
MAXTHON 2.0)
- User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; GTB6;
.NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
-------------------------------------------------------------------------------------
진단 및 치료
보호나라에서 자신의 pc가 한국정보보호 진흥원의 봇감염 pc ip 목록에 포함되어있는지 ip로 조회할수있더군요.
그러나 우선 순전히 감염된것으로 추정된pc의 ip 수집 목록에 있는지만 나오는것이니 보안 업데이트와, 백신을통한 검사를 해보시는게 좋을듯합니다.
ip검사 보호나라 링크 입니다. 
trackback from: 신형 DDoS 유발 악성코드 전용 치료 백신 [다운로드]
답글삭제현재 백신 기업들이 ::DDOS 공격에 사용되는 좀비PC들을 위한:: 해당 악성코드에 대한 간단한 백신을 배포중에 있다.! ※ 안철수연구소 전용백신 ※ 하우리 전용백신 ※ 바이러스체이서 전용백신 ※ 알약 전용백신 ※ 네이버 PC그린 전용백신 ※ 잉카인터넷 전용백신 DDOS 공격이 지금까지 계속되고 있는 가운데, 다시한번 되돌아 보아야한다.! 내 컴퓨터의 백신 프로그램의 유무! 기본적으로 백신 기업에서 제공하는 무료 백신으로도 충분히 예방가능하다. 감..
trackback from: 컴퓨터 날짜 수정에 따른 인증서 오류 발생 구글 AdSense,WebMaster,Analystics ,,,
답글삭제DDOS 관련해서 하드를 날린다는 소리때문에,,, 불안에 떠는 몇몇 분들은 컴퓨터 날짜를 변경하고 계실것이다. 특히 매우 안전하게 가자는 생각으로 2009년 1월이나 2008년 등의 선택을 하시는 분이 계신다. 중요한 문제는 아니지만,, 날짜를 너무 멀리하면, 이용할 수 없는 사이트가 생기게 된다. 인증서의 기간때문에!! (※ 현재 구글의 인증서이다. 유효기간을 잘 살펴보아야한다.) 현재 날짜를 2009년 1월로 변경후에 구글 애드센스, 웹마스터,..
trackback from: 혹시 개인 컴퓨터중 존비pc 걸린분 있어요?
답글삭제제가 관리해야 할 컴퓨터가 9대구요 추가로 4대정도 더 관리해야 하는데 아직은 아무 피해가 없어요 아마도 평상시에 v3와 알씨를 쓰고 있어서 그런가 봅니다. 또 어제 대부분 백신 프로그램을 돌려서 좀 잡아서 그런것도 있겠구요. 아니면 제 주변에는 스타크래프트 하는분이 없어서 일지도 모르겠어요. 게임에서 많이 걸렸다는 소리를 들어서요. 이차 감염으로 하드디스크를 날려 보내는건 윈도우 비스타와 닷넷 프레임워크가 설치된 컴퓨터들이라고 합니다. 이런 조건이..
trackback from: 美 “한국發 인터넷 접속 차단”
답글삭제국제적인 망신이군요. 주범이 북한이라면 더 고민거리군요. 이번 ddos는 예전과 달리 포털 서버를 거치지 않고 각 pc에 공격 명령을 내린다고 합니다. 심각하군요. (아래부터 2009. 7. 11. 추가글) 3차 공격까지 끝난 상태에서의 보도 내용과 국민들의 반응은 참 제각각이군요. 기록적인 공격이었다는 견해도 있고 ...(보도1) (보도2) 노무현 전 대통렬의 49제를 겨냥한 쇼라는 견해도 있고... (보기) (보기) 참 다양합니다. 한편 북한이..