1818.exe(381937F73526253736A15417A18BFECD) 디도스 악성코드

1818.exe(381937F73526253736A15417A18BFECD) 악성코드는 디도스 공격을 유발하는 악성코드이며, 숙주서버(C&C) 호스트,  다운로드 트리거 호스트, 그리고 다운로드 서버 용도 호스트 이렇게 3개의 호스트로 구성되어 있습니다.

숙주서버는 ali114.net 도메인 기반의 악성코드 실행 파일명을 호스트 이름으로 사용하여 1818.ali114.net 이라는 숙주서버 호스트가 악성코드에 하드 코딩되어 있습니다. 숙주서버로 부터 공격 명령을 받으면 TCP/UDP/ICMP/GET 등등 다양한 디도스 공격을 수행하게 됩니다.

악성코드는 숙주서버와 통신이 단절되면 다운로드 트리거 및 다운로드 서버로 접속을 시도하게 되며, 다운로드 서버로부터 악성코드를 다운로드 받아서 실행하는 구조입니다.

다운로드 트리거 호스트는 cc.ip-163.com이며, 이 호스트이 IP가 127.0.0.1로 DNS 셋팅이 되면 실제 다운로드 서버에 접속을 합니다. cc.ip-163.com문자열은 하드코딩되어 있지 않으며 내부 연산을 통해서 문자열이 생성됩니다.

다운로드 서버는 ip.ip-163.com:999 이며, 풀 URL는 http://ip.ip-163.com:999/ip.js이며, 이 파일을 c:\bxt.exe로 파일 시스템에 저정한 후 실행합니다.

 

ddos_1

kkomak.wordpress.com

kkomak.wordpress.com

ddos_4

kkomak.wordpress.com

kkomak.wordpress.com

 

Advertisements
3개의 댓글
  1. 이창수님의 말:

    P.S …좋은 샘플들 많으시면 더 주셔도 됩니다 ㅋㅋ…

  2. 이창수님의 말:

    김태훈 차장님 안녕하세요. 잘지내시죠?
    위에 댓글때문에 구글에서 제 개인정보가 검색되는데 댓글좀 삭제해주시면 안될까요?ㅠㅠ
    삭제버튼을 아무리 찾아도 안보여서요…

답글 남기기

아래 항목을 채우거나 오른쪽 아이콘 중 하나를 클릭하여 로그 인 하세요:

WordPress.com 로고

WordPress.com의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

Google+ photo

Google+의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

Twitter 사진

Twitter의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

Facebook 사진

Facebook의 계정을 사용하여 댓글을 남깁니다. 로그아웃 /  변경 )

%s에 연결하는 중

%d 블로거가 이것을 좋아합니다: