2010년 11월 18일 국내 페이스북(Facebook) 사용자들 사이에서 채팅(Chatting) 메시지로 악성코드가 유포되고 있다는 사실이 위키트리(Wikitree)의 "페북 바이러스, 이번엔 채팅창으로 침투"를 통해 알려지게 되었다. 그리고 이와 함께 해외 보안 업체인 트렌드마이크로(TrendMicro) 역시 이와 유사한 악성코드의 유포를 블로그 "“Photos” via Instant Messengers, Facebook Lead to Malware"를 통해 공개하였다.
이번 페이스북 사용자들의 채팅 메시지로 유포된 악성코드는 2010년 5월 발견된 인스터트 메신저(Instant Messenger)를 이용해 악성코드를 다운로드 하는 웹 페이지 링크를 채팅 메시지로 전송하였던 악성코드와 유사한 형태이다.
그러나 페이스북 사용자들 사이의 채팅 메시지로 악성코드를 다운로드 하는 웹 페이지 링크를 전송 한 사례는 이번이 처음이다. 해당 악성코드에 감염된 페이스북 사용자는 위키트리에서 공개한 아래와 같은 이미지 형태로 페이스북의 친구 리스트에 등록되어 있는 다른 사용자들에게 동일한 메시지가 전송된다.
이번에 발견된 페이스북 채팅 메시지로 유포되었던 악성코드는 페이스북 외에도 야후(Yahoo) 메신저를 통해서도 전파되며 전체적인 유포 구조를 도식화 한 것이 아래 이미지와 동일하다.
해당 악성코드가 시스템에 실행되면 아래 이미지와 같이 인터넷 익스플로러(Internet Explorer)를 실행 시켜 아래 마이스페이스(MySpace) 특정 사용자의 웹 페이지로 연결하게 된다.
그리고 윈도우 폴더(C:\WINDOWS)에 자신의 복사본인 nvsvc32.exe (61,440 바이트)를 생성한다. 그리고 다음 레지스트리(Registry) 키를 생성하여 윈도우(Windows) 시스템이 재부팅 하더라도 자동 실행 되도록 한다.
페이스북으로 로그인 페이지로 접속을 시도하여 해당 악성코드가 로그인이 성공 할 수 있는 것은 아래 이미지와 같이 감염된 시스템의 사용자가 "로그인 상태 유지"에 체크한 경우이다. 이는 웹 브라우저를 종료하더라도 로그인이 유지되어 다음 로그인시에 사용자 계정과 암호를 확인하지 않기 때문에 가능하다.
페이스북에 정상적으로 로그인 하게 되면 채팅 메시지를 이용하여 등록되어 있는 친구 리스트의 모든 사용자들에게 아래와 같은 웹 페이지 링크를 전송하게 된다.
페이스북의 채팅 메시지를 통해 악성코드를 다운로드 하도록 유도하는 악성코드들은 V3 제품군에서 다음과 같이 진단한다. 그러나 해당 악성코드 변형들이 다수 발견되고 있음으로 각별한 주의가 필요하다.
'악성코드 정보' 카테고리의 다른 글
이메일로 유포된 랜섬웨어를 다운로드하는 제우스 (0) | 2011.10.27 |
---|---|
피싱 툴 킷들로 제작되는 피싱 웹 페이지 (0) | 2011.10.27 |
새해를 알리는 2011년 버전을 유포 중인 허위 백신 (0) | 2011.10.27 |
한국 내 CVE-2010-3962 취약점 악용 악성코드 증가 (0) | 2011.10.27 |
윈도우와 맥 OS X에서 모두 감염되는 악성코드 발견 (0) | 2011.10.27 |
댓글