특정 대상을 목표로 한 것으로 추정되는 악성코드가 첨부된 메일 유포 사례가 지속적으로 발생하고 있어 사용자들의 주의가 필요하다.
안철수연구소의 대응상태
현재 안철수연구소의 V3제품에서는 해당 악성코드에 대해서 아래와 같이 대응하고 있다.
V3:2011.04.22.00: Dropper/Pcclient.868608(V3)
Dropper/Pcclient.868608, 어떻게 유포될까?
이번에 발견된 것은 아래 메일형식을 사용하여 유포되었던 것으로 확인되었다.
제목: [긴급 통지]
본문:
긴급 통지 : 최근이 회사는 직원 중독을 분실 알 수 있다. 사무실 시스템 및 Office 소프트웨어를 업데이트하려면, 낯선 사람이 보낸 메시지를 열지 마십시오, 알 수 없는 사이트를 방문하지 마시기 바랍니다. 및 악성 소프트웨어에 대한 시작 항목을 모니터링. autoruns는 부팅 항목 소프트웨어 탐지 시스템의 sysinternals, 당신은 철저히 신속하게 알려지지 않은 바이러스의 존재를 확인할 수 있는 컴퓨터를 확인하는 경우 시간의 문제
첨부파일: check.exe
위 메일내용을 요약해 보면 "Sysinternals에서 개발한 Autoruns를 사용하여 PC에 존재할지 모를 악성코드를 조치할 수 있다."는 내용인데 자세히 읽어보면 문장흐름이나 어법이 상당히 부자연스러움을 알 수가 있다. 그런데 문제는 대부분의 사용자들이 호기심 또는 무관심으로 첨부된 파일을 열람하여 악성코드에 감염되는 경우가 비일비재하며, PC가 악성코드에 감염되는 것 뿐만 아니라 그로 인해서 PC에 존재하는 중요한 정보(예를 들면, 개인정보, 문서 등)을 탈취하여 악의적인 사용자에게 전송할 수 있다는 점에서 잠재적으로 심각한 문제가 발생할 수 있다.
[그림 1] 첨부파일의 아이콘
[그림 1]을 보면 첨부파일인 check.exe는 WinRar SFX(자동실행 압축풀림)으로 여러 파일이 패키지화되어 있다.
[그림 2 참조]
메일 본문에도 언급되어 있다시피 첨부파일인 check.exe가 마치 Sysinternals에서 제작한 Autoruns인 것처럼 사용자를 믿게 하기 위해서 [그림 2]에서 보는 것처럼 check.exe는 악성코드와 정상 Autoruns관련 파일들이 악성코드와 함께 패키징되어 있음을 알 수 있고 check.exe를 실행하면 아래 그림처럼 설치화면이 출력되지만 이는 어디까지나 사용자를 속이기 위한 과정 중에 하나이다.
[그림 3] 허위 설치화면
설치가 완료되면 아래 그림에서 보는 것처럼 설치된 정상 Autoruns를 실행하도록 바탕화면에 바로가기 아이콘이 생성된다.
[그림 4] 바로가기 아이콘의 등록정보
그리고 바탕화면에 생성된 바로가기 아이콘을 클릭하면 아래 그림처럼 정상 Autoruns 프로그램이 실행되어 사용자가 악성코드를 실행하기 위한 과정임을 인지할 수 없도록 한다.
[그림 5] 정상 Autoruns 프로그램 실행
악성코드인 0421.exe가 실행되면서 생성한 %SYSTEM%\wbem\loadperf.dll은 아래 기능을 가지고 있다.
-. 키로깅 기능
-. 윈도우 이벤트 로그(System, Security, Application)삭제
- 하드웨어 정보
-. 화면캡쳐
-. rasphone.pbk에서 특정 정보(Device, PhoneNumber, DialParamsUID 등) 수집
DLL이 수집한 정보는 특정 URL로 전송되나 현재 해당 URL은 더 이상 동작하지 않는다.
'악성코드 정보' 카테고리의 다른 글
| 사진을 클릭했을 뿐인데? 새로운 SEO Poisoning Attack (0) | 2011.04.27 |
|---|---|
| [악성스팸경고] my naked pic is attached (0) | 2011.04.27 |
| imm32.dll 교체 악성코드, 당신 PC의 권한을 탐하다. (5) | 2011.04.22 |
| 악성 플래시 파일, 당신의 PC를 노린다. (2) | 2011.04.18 |
| 악성코드 제작자는 사용자가 익숙한 것을 노린다 (1) | 2011.04.17 |
댓글