[ 최초 발생 ]

l 3월 4일 10시 DDoS 공격 발생!
l 동일 6시 30분 부터 재차 공격 예정!
 

[ 유포 경유 ]

국내 P2P 업데인 쉐어 박스와 수퍼다운에서 유포된 것으로 추정되며, 이들 업체의 다운로드 프로그램이 그 타겟이 된것으로 보인다.

3월 4일 오전 7-9시 사이에 집중 유포된 것으로 보아 싸이트 특성상 감염된 컴퓨터의 수는

이와 유사한 형태를 보인 7.7 디도스 대란(2009년 7월 7일부터 9일까지 약 20만대의 좀비 pc가 국내 17개 웹사이트 공격)때 보다 적은 것으로 파악 된다.

7.7 대란과 유사하다고 한 이유는 멀티 도메인 공격, 스케줄링 공격의 특성을 보이고 있기 때문이다.

[ 바이러스 파일 ]

디도스 공격을 유발하는 악성코드 파일 명은 다음과 같다.
이 중 SBUpdate.exe 는 P2P 다운로드 프로그램으로 변조되어 정상적인 P2P 업데이트 파일로 위장되 있다.

ntcm63.dll, 131072
SBUpdate.exe, 11776
ntds50.dll, 118784
watcsvc.dll, 40960
soetsvc.dll, 46432
mopxsvc.dll, 71008
SBUpdate.exe, 10240
host.dll, 118784
meitsvc.dll, 71008
sfofsvc.dll, 46432
bobo.exe, 11776
filecity.exe, 20480

[ 공격 대상 ]

DDoS 공격 파일의 유포지는 국내 P2P 싸이트로 추정되며, 공격대상은 다음 40개 싸이트로 확인되고 있다. 그러나 계속 변종이 양산될 가능성이 커서 목록은 추 후 변경될 수 있다.

네이버, 다음, 옥션, 한게임, 디씨인사이드, 지마켓, 청와대, 외교통상부, 국가정보원, 통일부, 국회, 국가대표포털, 방위산업청, 경찰청, 국세청, 관세청, 국방부, 합동참모본부, 육군본부, 공군본부, 해군본부, 주한미군, 국방홍보원, 제8전투비행단, 방송통신위원회, 행정안전부, 한국인터넷진흥원, 안철수연구소, 금융위원회, 국민은행, 우리은행, 하나은행, 외환은행, 신한은행, 제일은행, 농협, 키움증권, 대신증권, 한국철도공사, 한국수력원자력

[ 차단 싸이트 목록 ]

호스트를 변조해 안티 바이러스 업데이트를 차단 하는 싸이트 목록은 다음과 같다.

explicitupdate.alyac.co.kr
gms.ahnlab.com
ko-kr.albn.altools.com
ko-kr.alupdatealyac.altools.com
su.ahnlab.com
su3.ahnlab.com
update.ahnlab.com
ahnlab.nefficient.co.kr

[ 대응 방안 ]

현재 2011년 3월 4일자 엔진에 모두 업데이트 된 상태지만, 최신 변종 바이러스에 대한 추가가 계속 진행되고 있기 때문에 터보백신을 항상 최신 버전으로 유지 해야 한다.

[ 추가 ]

현재 국정원 을 제외한 알려진 공격 대상 사이트의 장애는 확인되지 않고 있습니다.

악성 코드 없는 세상를 위하여~

터보백신 프리 다운로드

DDOS 전용백신