오늘 vbs 형태의 네이트온 악성코드가 발견되어 관련 내용을 안내드립니다.
vbs 악성코드의 감염경로는, 위 그림과 같이 해킹된 네이트온 ID를 이용해 접속된 사람에게 악성코드 url 을 쪽지로 퍼뜨리는 형태를 띄고 있습니다.
url을 통해 받은 압축파일을 해제시 x.vbs 파일이 나오게 되며, 해당 악성코드는 아래와 그림과 같이 난독화되어 분석을 어렵게 합니다.
위 난독화된 코드는 복호화 후 아래의 스크립트 명령어로 변환됩니다.
스크립트 내용으로 보아 ftp 서버를 통해 악성pe파일을 다운받아서 실행한 후, 특정 사이트에 접속한다는 것을 알 수 있습니다.
ftp를 통해 다운받는 d.exe 는 wintian.dll 파일을 드롭하여 이 dll은 특정 서비스의 id/pw 를 가로채는 역할을 하게 되니 악성코드 감염시 패스워드를 반드시 변경하시기 바랍니다.
v3에서는 다운받는 악성코드를 아래와 같이 진단하고 있습니다
항상 아래와 같은 사항을 준수하여 악성코드 감염을 예방 하시기 바랍니다.
1. 발신인이 불분명한 메일일 경우 가급적 메일을 확인하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.
2. 안티바이러스(백신) 프로그램을 설치하여 항상 최신 엔진을 유지하며, 실시간 감시 기능을 사용합니다.
3. 메일 내에 포함된 첨부파일에 대해 안티바이러스(백신) 프로그램으로 검사를 한 후 열람하시기 바랍니다.
4. 메일 본문에 포함된 URL은 가급적 접속을 하지 마시기 바랍니다.
'악성코드 정보' 카테고리의 다른 글
네이트온 쪽지를 통해 전파되는 악성코드 (0) | 2010.06.28 |
---|---|
html 파일이 첨부된 스팸메일 주의 (0) | 2010.06.23 |
open.html, news.html, facebook_newpass.html 등의 스크립트 파일을 첨부한 스팸메일 주의! (0) | 2010.06.11 |
[악성스팸경보] 악성 PDF 를 전파하는 스팸메일 - "New Resume" (2) | 2010.06.08 |
트위터를 가장한 악성 스팸메일 주의! - Twitter 숫자-숫자 (0) | 2010.06.07 |
댓글