3월3일 부터 발생한 DDos 감염 좀비PC에 의한 국내 웹사이트 공격이후, 감염된 PC의 HDD파괴 등의 심각한 증상이 대응센터로 보고 되고 있습니다.

이에, 고객사의 피해를 예방하고자 분석 보고서 및 안전점검 가이드를 보내드리오니 확인하시고, 피해에 대비하시기 바랍니다.

 

<좀비 PC 확인법>

첫째, 시스템에서 호스트 파일에 아래와 같은 URL이 등록되어 있는 경우
        (특히 "boho", "ahnlab.com", "alyac.co.kr" 문자열 확인)

   (시스템 폴더)\driver\etc\hosts


127.0.0.1       explicitupdate.alyac.co.kr
127.0.0.1       gms.ahnlab.com
127.0.0.1       ko-kr.albn.altools.com
127.0.0.1       ko-kr.alupdatealyac.altools.com
127.0.0.1       su.ahnlab.com
127.0.0.1       su3.ahnlab.com
127.0.0.1       update.ahnlab.com
127.0.0.1       ahnlab.nefficient.co.kr

127.0.0.1       www.alyac.co.kr
127.0.0.1       www.boho.or.kr
127.0.0.1       download.boho.or.kr
127.0.0.1       www.ahnlab.com
127.0.0.1       explicitupdate.alyac.co.kr
127.0.0.1       gms.ahnlab.com
127.0.0.1       ko-kr.albn.altools.com
127.0.0.1       ko-kr.alupdatealyac.altools.com
127.0.0.1       su.ahnlab.com
127.0.0.1       su3.ahnlab.com
127.0.0.1       update.ahnlab.com
127.0.0.1       ahnlab.nefficient.co.kr

둘째, 다음의 폴더가 만들어져 있는 경우

  c:\windows\NLDRV\111

켜져있는 본인의 PC가 좀비 PC 인지 확인하는 방법입니다.

 

DDos에 관한 자세한 내용은 아래를 참고하여 주십시오.

 

[하우리 공격대응 보고서] 클릭 

 

DDos에 관한 안전점검 가이드를 배포합니다.

 

[하우리 DDos 안전점검 가이드] 클릭


긴급전용백신

- 안철수연구소

(http://www.ahnlab.com/kr/site/download/vacc/downFile.do?file_name=v3removaltool.exe)

- 잉카인터넷

(http://avs.nprotect.net/FreeAV/nProtectEAVDllbot.com)

개인용 무료백신 ‘V3 LIte’를 비롯해 ‘V3 365 클리닉’(http://v3clinic.ahnlab.com/v365/nbMain.ahn)
V3 Internet Security 8.0 등 모든 제품군 사용자는 사용 중인 제품의 최신 버전으로 진단/치료할 수 있다.


 

<디도스 공격 유발 악성코드 파일명과 V3제품군의 진단명>

ntcm63.dll : Win-Trojan/Agent.131072.WL

SBUpdate.exe : Win-Trojan/Agent.11776.VJ

ntds50.dll : Win-Trojan/Agent.118784.AAU

watcsvc.dll : Win-Trojan/Agent.40960.BOH

soetsvc.dll : Win-Trojan/Agent.46432.D

mopxsvc.dll : Win-Trojan/Agent.71008

SBUpdate.exe : Win-Trojan/Npkon.10240

Posted by secu153

댓글을 달아 주세요