DDoS 트래픽 발생 악성코드 감염주의
등록일 : 2007-09-17
조회수 : 781
== 출처/정보보호포털사이트-보호나라 ==
(http://www.boho.or.kr/notice/9_1_read.jsp?board_id=1&u_id=98&page=1)
□ 개 요
o 보안에 취약한 PC가 ‘Virut’ 바이러스에 감염된 후, DDoS 공격을 유발할 수 있는 악성
프로그램(트로이잔)을 추가 다운로드할 수 있어, 감염 및 피해예방을 위한 주의가 요구됨
□ 주요 특징
o PC에 감염되어 있는 Virut를 이용하여 공격용 트로이잔을 추가 다운로드
o 트로이잔이 실행되면, %systemroot%\temp\VRT[랜덤숫자].tmp 폴더로 자기 자신을 복사
o 트로이잔은 특정사이트(www.e-gold.com)을 대상으로 TCP Flooding(80, 443 포트 이용)과
UDP Flooding(임의의 포트 사용) 공격 수행
□ 감염 증상
o 감염PC에서는 네트워크 트래픽이 과다 생성되어 인터넷 접속 지연이 발생
o 감염PC에서 인터넷망에 이르는 네트워크 경로에는 트래픽이 과다발생되어 전반적인 네트워크
성능저하 발생
□ 조치 및 예방사항
o 감염이 의심되는 PC는 컴퓨터를 재부팅하여 임시적인 피해를 차단
o 기업 등의 전산담당자는 TCP/65520 포트가 비업무용인 경우는 침입차단시스템에서 차단
o 최신 백신 업데이트 적용하여 컴퓨터 치료 및 피해 예방
o P2P 및 인터넷 게시판을 통해 공유된 신뢰되지 않은 파일은 사용하기 전에 반드시 백신으로
점검
□ Virut 바이러스 관련 FAQ
1. Virut 바이러스란?
Win32/Virut는 윈도우 실행파일을 감염시키는 파일 바이러스로서 *.exe, *.scr 확장자를 가진 파일을 감염시킨다. 자체 전파기능은 보유하고 있지 않아 P2P 등을 통해서 전파되는 것으로 추정된다.
Virut는 일반 바이러스와 달리 원격 IRC 채널에 접속하여 공격자의 명령을 전달받아 수행하는 기능이 존재한다. 이 기능으로 인해서 Virut 감염PC는 DDoS 등의 공격에 악용될 가능성이 있다.
2. Virut 바이러스 감염여부 확인 방법
Virut 바이러스는 자체 전파능력이 없으므로, 일반 사용자는 바이러스의 감염 여부를 알아내기가 쉽지 않다. 만일 사용자가 백신을 사용하고 있다면 바이러스 감염여부를 즉시 파악할 수 있다.
백신을 사용하고 있지 않는 사용자는 이미 감염이 되어 있을 수도 있으므로, 반드시 전용백신 및 평가판을 사용하여 자신의 PC를 점검해야 한다.
3. Virut 바이러스의 치료 방법은?
Virut의 최초 출현은 2006년 하반기이다. 그러므로 현재 대부분의 백신제품에서 Virut를 진단하고 치료를 수행한다. 우선 사용하고 있는 백신을 최신으로 업데이트하고 치료를 수행한다.
백신을 사용하지 않을 경우 국내 주요 백신업체에서 제공하는 Virut 전용 백신이나 평가판을 다운로드 받아서 치료를 하도록 한다.
[보호나라]
http://www.boho.or.kr => 바이러스 백신
[안철수연구소 전용백신 다운로드]
http://kr.ahnlab.com/dwVaccineView.ahn?num=55&cPage=1
[하우리 평가판 다운로드]
http://www.hauri.co.kr/download/customer/vaccine_down.html?menu=STE=
[바이러스체이서 평가판 다운로드]
http://www.viruschaser.com/main/down/down.jsp
4. 재감염을 방지하기 위한 방법은?
현재까지 Virut 바이러스의 감염 경로는 명확히 밝혀진바 없다. 다만 Virut는 감염 전파를 위해서 반드시 사용자의 개입이 필요하므로 PC사용시 다음의 행동을 주의하도록 한다.
* 사용자는 윈도우 업데이트를 실시하여 자신의 PC를 최신 상태로 유지해야 한다.
* 홈페이지에서 제공하는 파일을 함부로 다운로드 받지 말아야 한다.
* P2P, WareZ 사이트에서 배포하는 프로그램이 아닌, 정품 소프트웨어를 사용해야 한다.
* 전자우편의 첨부파일을 함부로 저장하거나 실행하지 않아야 한다.
* 백신을 사용하여 자신의 PC를 보호해야 한다.
5. 네트워크 및 시스템 운영자가 할 일은?
네트워크 관리자는 네트워크에서 급격한 트래픽 증가가 발생하는지 주의깊게 모니터링을 수행해야 한다. 또한 보안장비를 운영하는 경우 외부로 향하는 65520/TCP 포트를 검사하여 내부 서비스에 영향이 없는 경우 해당 포트를 우선 차단하도록 한다. 65520/TCP 포트는 Virut가 외부의 명령을 전달받기 위해 사용하는 포트이다.
시스템 운영자는 네트워크에 존재하는 모든 PC에 대해 백신으로 Virut 바이러스 감염여부를 점검하고, PC 사용자들에게 윈도우 업데이트를 실시하도록 공지해야 한다.
6. 기타 필요한 정보는?
한국정보보호진흥원 인터넷침해사고대응지원센터(cert@krcert.or.kr, 국번없이 118)로 문의하면 된다. 또한 국내 백신업체의 홈페이지를 참고할 수 있다.
[Virut 정보 제공 관련 홈페이지]
o 인터넷침해사고대응지원센터 - http://www.krcert.or.kr
o 보호나라 - http://www.b