안녕하세요 호스트센터(주) 시스템관리부 시스템보안팀입니다. 

VanBot 악성코드 감염 주의를 요약정리해 드립니다. 고객분께서는 반드시 아래내용을 보시고 대처 하시기 바랍니다.

문의 : 02-6265-1108 
담당자 : 김봉기 
 


□ 개요

   o 원격에서 공격명령을 전달받으며, 정보유출 및 서비스거부 공격이 가능한 VanBot 악성코드 감염
      피해 주의

□ 전파 방법  

   다수의 변종 VanBot이 존재하며, 변종마다 악용하는 취약점 등 전파경로가 다양하나, 대표적으로
   다음과 같은 취약점을 악용함

   ※ VanBot 변종 예: VanBot.206848, VanBot.210432 등

   o MS-SQL의 기본 패스워드를 이용하여 접속 및 xp_cmdshell 을 이용한 웜 감염 시도 
   o 관리목적 폴더 암호 Dictionany Attack 공격
   o RPC Dcom 취약점 등 OS네트워크 서버스 취약점을 악용
   o Symantec System Center) Buffer Overflow(TCP/2967)  취약점 악용


□ 악성기능 

   o 명령전달 통한 원격통제 

     * 명령전달 사이트 예 (TCP 8080)
       - holla.s[생략]bck.net  
       - x.x[생략]o.net
       - x.san[생략]rity.org
       - xnet.ph[생략]amp.org
       - x.penn[생략]et.com
       - crusade.go[생략]ags.com

     * IRC 명령전달을 통하여 아래의 악성행위 수행 
       - UDP등을 통한 DoS공격,  타시스템 SCAN
       - 공격 후 Exploit 성공한 결과에 대한 통계정보 유출
       - 감염 시스템 정보유츌 : CPU,  RAM , 계정  등
       - 감염 시스템 네트워크 설정 정보 유출, 윈도우 CD-key 정보 유출
       - Bot 업데이트,  2차 악성코드 설치 등

   o 감염 시 생성되는 파일
      VanBot.210432의 경우 아래의 파일 및 레지스트리 생성

       - VanBot.210432의 경우
        * "윈도우 시스템폴더" 폴더 내에 "znnsvc.exe" 파일 생성
        * 레지스트리에 등록 
           HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 
            . 이름: ZNN 
            . 데이터: "윈도우 시스템폴더" znnsvc.exe 

       ※ "윈도우시스템 폴더" 
           Windows NT/2000    C:\Winnt\System32 
           Windows XP         C:\Windows\System32 

       - VanBot.212992의 경우
        * "윈도우 시스템폴더" 폴더 내에 "sansv.exe" 파일 생성 
        * 레지스트리에 등록 
           HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 
            . 이름 : SANS Service 
            . 데이터: "윈도우 시스템폴더" sansv.exe 


□ 감염여부 확인 및 치료방법  

   ▶ VanBot.210432 변종의 경우 예 

     o 감염여부 확인
        "윈도우 시스템 폴더" 에 "znnsvc.exe" 이름의 파일 존재여부 확인 

    o 치료방법 
       1. "Ctrl" + "Alt" + "Del" 클릭 후 프로세스 메뉴에서 znnsvc.exe 프로세스 종료
       2. "윈도우 시스템폴더"내의 znnsvc.exe 파일 삭제 
       3. 시작 → 실행 선택,   "regedit" 입력 후 악성코드가 생성한 아래의 레지스트리 삭제 
           HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 
           . 이름: ZNN 
           . 데이터: "윈도우 시스템폴더"\znnsvc.exe 

   ▶ VanBot.212992 변종의 경우

     o 감염여부 확인
        "윈도우 시스템폴더" 에 "sansv.exe" 파일 존재여부 확인 

     o 치료방법 
        1. "Ctrl" + "Alt" + "Del" 클릭 후 프로세스 메뉴에서   "sansv.exe" 프로세스 종료
        2. "윈도우 시스템폴더" 내의  "sansv.exe" 파일 삭제  
        3. 시작 → 실행 선택,   "regedit" 입력 후 악성코드가 생성한 아래의 레지스트리 삭제 
            HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 
            . 이름 : SANS Service 
            . 데이터 : "윈도우 시스템폴더"sansv.exe 
 
□ 참조 : 인터넷침해사고대응센터