DDoS 공격을 유발했던 악성코드의 초기 버전으로 추정되는 악성코드가 3월 말에 제작돼 활동했던 것으로 파악됐다.

초기 악성코드는 PC에 백도어 기능으로 잠복하고 있다가 5월 초부터 정보수집기능이 업데이트 됐고 DDoS 공격 기능은 7월에 업데이트 된 것으로 분석되고 있다.

국내 한 백신업체에 근무하는 최상명 연구원은 “7.7 DDoS 공격에 사용된 좀비 에이전트 히스토리를 분석한 결과 3월말에 제작된 것으로 추정되는 악성코드를 찾아냈으며 이 악성코드는 4월 초에 해외에서 발견된 것으로 파악되고 있다”고 밝히고 “발견된 좀비 악성코드 샘플에는 마스터서버의 IP 정보가 담겨있는 ‘prms.inf’ 파일이 포함돼 있었다”고 덧붙였다.

최 연구원이 전한 좀비 에이전트 히스토리는 악성코드를 추적해 수집된 총 43종 샘플을 수집해 분석된 자료다.

3월말에 제작된 악성코드에 포함된 마스터서버 IP는 미국(74.218.107.217:443)과 이집트(196.219.38.168:443), 베네수엘라(200.90.40.27:443)로 파악되고 있다.

최 연구원은 “좀비 에이전트들에 사용된 코딩 기법 및 통신 암호화에 사용된 기법 등이 동일하기 때문에 한 제작자에 의해 계속해서 업데이트되었고, 정보 수집기능과 DDoS 공격기능들도 추가되며 발전했다”고 말했다.

정보수집기능은 5월부터 업데이트 된 것으로 파악되고 7월 4일에 본격적으로 DDoS 기능이 들어간 바이너리가 업데이트 된 것으로 분석되고 있다.