1. 서론
탈취당한 메신저 계정을 통해 자극적인 메시지 및 URL을 유포, 특정 잡지회사의 기사로 위장한 페이지로 유도하는 형태의 사회 공학(Social Engineering) 기법을 이용한 악성코드 유포 사례가 발견되어 사용자들의 주의가 요구됩니다.
[그림 1] 잡지회사 기사로 위장한 페이지
[그림 2] 잡지회사 기사로 위장한 페이지 하단의 링크
탈취당한 메신저 계정을 통해 자극적인 메시지 및 URL을 유포, 특정 잡지회사의 기사로 위장한 페이지로 유도하는 형태의 사회 공학(Social Engineering) 기법을 이용한 악성코드 유포 사례가 발견되어 사용자들의 주의가 요구됩니다.
2. 악성코드 유포 방법 및 증상
1) 악성코드 유포방법
최초 메신저를 통해 자극적인 메시지와 함께 특정 URL(http://www.po*****ok.com:98/)이 전달되며, URL을 클릭시 아래 그림과 같이 특정 잡지회사의 기사로 위장한 페이지로 이동합니다.
1) 악성코드 유포방법
최초 메신저를 통해 자극적인 메시지와 함께 특정 URL(http://www.po*****ok.com:98/)이 전달되며, URL을 클릭시 아래 그림과 같이 특정 잡지회사의 기사로 위장한 페이지로 이동합니다.
해당 기사의 하단 부분의 "다운로드 더보기... "를 클릭할 경우, 악성코드가 압축된 rar 파일을 다운로드하게 되며 압축 해제 후 파일을 실행하게 되면 악성코드에 감염됩니다.
[그림 3] 링크 클릭시 파일 다운로드
2) 악성코드 증상
압축 해제 후 생성된 파일이 실행되면 원본과 동일한 파일을 생성합니다.
아래와 같이 레지스트리값을 등록하며, 시스템 시작시 실행될 수 있도록 지속적으로 등록합니다.
그리고 다수의 온라인 게임과 메신저 계정을 유출시킵니다.
압축 해제 후 생성된 파일이 실행되면 원본과 동일한 파일을 생성합니다.
C:\WINDOWS\system32\[랜덤파일명].exe
아래와 같이 레지스트리값을 등록하며, 시스템 시작시 실행될 수 있도록 지속적으로 등록합니다.
[HKCU\Software\Microsoft\Internet Explorer\Main]
"TabProcGrowth"="0x0"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\SysTray]
"Services"="0x1F"
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,[랜덤파일명].exe"
...
"TabProcGrowth"="0x0"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Applets\SysTray]
"Services"="0x1F"
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,[랜덤파일명].exe"
...
그리고 다수의 온라인 게임과 메신저 계정을 유출시킵니다.
3. 진단 현황
현재 V3 제품군에서는 아래와 같은 진단명으로 진단이 가능하오니 항상 최신 엔진버전으로 유지하시기 바랍니다.
현재 V3 제품군에서는 아래와 같은 진단명으로 진단이 가능하오니 항상 최신 엔진버전으로 유지하시기 바랍니다.
Win-Trojan/Agent.55296.JV (진단/치료버전:2010.12.24.00)
'악성코드 정보' 카테고리의 다른 글
| Facebook의 담벼락을 이용한 사이트 전파 사례 (2) | 2011.01.03 |
|---|---|
| 게임어플리케이션 으로 위장하여 사용자정보를 가로채는 악성 안드로이드앱 주의! (0) | 2010.12.31 |
| 위키리크스 (WikiLeaks) 관련 악성코드 !! (1) | 2010.12.08 |
| 사회적 이슈를 이용한 SEO 악성코드 유포 주의 (0) | 2010.11.23 |
| 익스플로러 제로데이 취약점을 이용한 악성코드 유포 (0) | 2010.11.12 |
댓글