8월 17일 ASEC에서는 8월 15일 공개된 외국 언론 "Saudi Aramco says virus shuts down its computer network"을 통해 사우디 아라비아의 정유 업체인 Saudi Aramco에 특정 악성코드에 의한 피해가 발생하였다는 것을 확인 하였다.
추가적으로 ASEC에서 관련 보안 위협에 대한 정보들을 확인하는 과정에서 시만텍(Symantec)에서 "The Shamoon Attacks"로 명명한 보안 위협과 관련되었음을 파악하였다.
Shamoon 보안 위협과 관련된 악성코드는 Disttrack로 명명되었으며, 크게 3가지 기능을 가진 악성코드들이 모듈 형태로 동작하도록 설계되어 있다.
드로퍼(Dropper) - 다른 기능들을 수행하는 악성코드들을 생성하는 메인 악성코드
와이퍼(Wiper) - 실질적인 MBR(Master Boot Record)를 파괴 기능을 수행하는 악성코드
리포터(Reporter) - 공격자에게 감염된 시스템의 현황을 보고 기능을 수행하는 악성코드
해당 Disttrack는 관리 목적의 공유 폴더인 ADMIN$, C$, D$와 E$ 를 통해 네트워크에 이웃한 시스템으로 자신의 복사본을 전송하여 생성하게 된다.
그리고 감염된 시스템에 존재하는 JPEG 파일을 임이의 데이터로 덮어씀으로 이미지 파일을 정상적으로 사용하지 못하게 한다. 이와 함께 감염된 시스템의 MBR을 파괴하여 시스템의 정상적인 부팅과 사용을 방해하게 된다.
Shamoon 보안 위협과 관련된 악성코드는 Disttrack로 명명된 악성코드는 V3 제품군에서 모두 다음과 같이 진단한다.
Win-Trojan/Disttrack.989184
Win-Trojan/Disttrack.133120
Win-Trojan/Disttrack.27280
Win-Trojan/Disttrack.989184.B
Win-Trojan/Disttrack.194048
Win-Trojan/Disttrack.31632
Win-Trojan/Disttrack.532992
Win-Trojan/Disttrack.227840
Win-Trojan/Disttrack.155136
'악성코드 정보' 카테고리의 다른 글
이메일을 이용한 어도비 CVE-2009-0927 취약점 악성코드 유포 (0) | 2012.08.22 |
---|---|
악성코드 감염으로 알려진 일본 재무성 침해 사고 (0) | 2012.08.21 |
어도비 플래쉬 플레이의 CVE-2012-1535 취약점 악용 악성코드 (2) | 2012.08.16 |
YSZZ 스크립트 악성코드의 지속 발견 (0) | 2012.08.14 |
다시 발견된 한글 취약점을 악용한 취약한 한글 파일 (0) | 2012.08.14 |
댓글