□ 개요 o 원격에서 공격명령을 전달받으며, 정보유출 및 서비스거부 공격이 가능한 VanBot 악성코드 감염 피해 주의 □ 전파 방법 다수의 변종 VanBot이 존재하며, 변종마다 악용하는 취약점 등 전파경로가 다양하나, 대표적으로 다음과 같은 취약점을 악용함 ※ VanBot 변종 예: VanBot.206848, VanBot.210432 등 o MS-SQL의 기본 패스워드를 이용하여 접속 및 xp_cmdshell 을 이용한 웜 감염 시도 o 관리목적 폴더 암호 Dictionany Attack 공격 o RPC Dcom 취약점 등 OS네트워크 서버스 취약점을 악용 o Symantec System Center) Buffer Overflow(TCP/2967) 취약점 악용 □ 악성기능 o 명령전달 통한 원격통제 * 명령전달 사이트 예 (TCP 8080) - holla.s[생략]bck.net - x.x[생략]o.net - x.san[생략]rity.org - xnet.ph[생략]amp.org - x.penn[생략]et.com - crusade.go[생략]ags.com * IRC 명령전달을 통하여 아래의 악성행위 수행 - UDP등을 통한 DoS공격, 타시스템 SCAN - 공격 후 Exploit 성공한 결과에 대한 통계정보 유출 - 감염 시스템 정보유츌 : CPU, RAM , 계정 등 - 감염 시스템 네트워크 설정 정보 유출, 윈도우 CD-key 정보 유출 - Bot 업데이트, 2차 악성코드 설치 등 o 감염 시 생성되는 파일 VanBot.210432의 경우 아래의 파일 및 레지스트리 생성 - VanBot.210432의 경우 * "윈도우 시스템폴더" 폴더 내에 "znnsvc.exe" 파일 생성 * 레지스트리에 등록 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun . 이름: ZNN . 데이터: "윈도우 시스템폴더" znnsvc.exe ※ "윈도우시스템 폴더" Windows NT/2000 C:WinntSystem32 Windows XP C:WindowsSystem32 - VanBot.212992의 경우 * "윈도우 시스템폴더" 폴더 내에 "sansv.exe" 파일 생성 * 레지스트리에 등록 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun . 이름 : SANS Service . 데이터: "윈도우 시스템폴더" sansv.exe □ 감염여부 확인 및 치료방법 ▶ VanBot.210432 변종의 경우 예 o 감염여부 확인 "윈도우 시스템 폴더" 에 "znnsvc.exe" 이름의 파일 존재여부 확인 o 치료방법 1. "Ctrl" + "Alt" + "Del" 클릭 후 프로세스 메뉴에서 znnsvc.exe 프로세스 종료 2. "윈도우 시스템폴더"내의 znnsvc.exe 파일 삭제 3. 시작 → 실행 선택, "regedit" 입력 후 악성코드가 생성한 아래의 레지스트리 삭제 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun . 이름: ZNN . 데이터: "윈도우 시스템폴더"znnsvc.exe ▶ VanBot.212992 변종의 경우 o 감염여부 확인 "윈도우 시스템폴더" 에 "sansv.exe" 파일 존재여부 확인 o 치료방법 1. "Ctrl" + "Alt" + "Del" 클릭 후 프로세스 메뉴에서 "sansv.exe" 프로세스 종료 2. "윈도우 시스템폴더" 내의 "sansv.exe" 파일 삭제 3. 시작 → 실행 선택, "regedit" 입력 후 악성코드가 생성한 아래의 레지스트리 삭제 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun . 이름 : SANS Service . 데이터 : "윈도우 시스템폴더"sansv.exe □ 참조 : 인터넷침해사고대응센터