본문 바로가기
악성코드 정보

다시 등장한 페이스북 관리자로 위장한 Bredolab 변형

by 알 수 없는 사용자 2011. 10. 27.

2009년 한 해 동안 지속적으로 페이스북(Facebook)과 마이스페이스(MySpace) 등 유명 SNS(Social Network Service) 웹 사이트로 위장하여 전자 메일을 통해 유포되었던 Bredolab 변형이 2010년 4월 27일 야간에 다시 발견되기 시작하였다.

이번에 발견된 Bredolab 변형은 아래 이미지와 같이 이 번에도 역시 페이스북의 보안팀으로 위장한 메일로 유포하였다.


이렇게
이스북으로 위장하여 Bredolab 변형을 유포한 사례는 이번이 처음은 아니며 2009년 11월에도 유사한 전자 메일 형태로 유포한 사례가 있었다.

이번에 유포된 Bredolab 변형은 위 이미지에서와 같이 "
Facebook Password Reset Confirmation! Customer Support."라는 메일을 제목을 사용하였으며 첨부 파일로는 Facebook_document_Nr9527.zip (27,936 바이트)가 존재한다.

첨부된 ZIP 압축 파일을 해제하면 아래 이미지와 같이 마이크로소프트(Microsoft)의 워드(Word) 프로그램의 아이콘으로 위장한
Facebook_document_Nr9527.exe (48,640 바이트)의 파일이 생성된다.


생성된 해당 파일이 실행 되면 사용자 계정의 임시 폴더인 Temp 폴더에 D.tmp (19,968 바이트) 파일을 생성 한 후 다시 윈도우 시스템(C:\Windows\System32) 폴더에 ngts.vao 파일명으로 복사 한다.

그리고 윈도우 시스템에 존재하는 정상 svchost.exe 파일을 더미(Dummy)로 실행 한 후 해당 프로세스의 메모리 영역에 아래 이미지와 같이 자신의 코드 일부를 삽입하여 러시아에 위치한 시스템으로 접속을 시도한다.


해당 악성코드가 러시아에 위치한 특정 시스템으로 정상적인 접속이 이루어지면 과거 발견된 Bredolab 변형들의 사례와 동일하게 허위 백신을 다운로드 하여 아래 이미지에서와 같이 실행 시킨다.


다운로드 후 실행된 허위 백신은 사용자에게 사용하는 시스템에 다수의 악성코드가 설치되어 있다는 허위 정보를 보여주고 정상적인 치료를 하려면 금전 결제를 하도록 유도하게 된다.

이번 페이스북 보안팀을 사칭하여 유포된 Bredolab 변형과 허위 백신은 V3 제품군에서 다음과 같이 진단한다.

Dropper/Malware.48640.M

Win-Trojan/Xema.variant
Win-Trojan/Fakeav.201728


이렇게 다양한 방식으로 유포되는 악성코드들의 감염으로 인한 피해를 예방하기 위해서는 다음의 사항들을 숙지 할 필요가 있다.

1. 마이크로소프트 업데이트 웹 사이트를 통해 시스템에 설치된 윈도우 운영체제, 인터넷 익스플로러 및 오프스 제품에 존재하는 취약점을 제거하는 보안 패치를 모두 설치한다.

2. 자주 사용하는 컴퓨터 시스템에는 V3 365 클리닉
과 같은 방화벽과 백신이 포함되어 있는 통합 보안 제품을 반듯이 설치한다.


3. 웹 브라우저를 통해서 유포되는 악성코드의 감염을 예방하기 위해 사이트가드(SiteGuard)와 같은 웹 브라우저 보안 소프트웨어 를 같이 설치하는 것이 중요하다.

4. 사용중인 컴퓨터 시스템에 설치된 백신을 항상 최신 엔진으로 업데이트 하고 실시간 감시를 켜두는 것이 중요하다.

5. 전자 메일에 첨부파일이 존재 할 경우 실행 하지 않도록 주의 하며 저장후 최신 엔진으로 업데이트된 백신을 통해 먼저 검사를 한 후 실행 하도록 한다.

6. 전자 메일에 존재하는  의심스런 웹 사이트 링크는 클릭하지 않는다.

댓글